Mikrotik Yedekleme Kanalı'na geçer. Mikrotik. İki sağlayıcı. Ağ Geçitleri Arasında Otomatik Anahtarlama (Scriptler olmadan)

Bu makalede en çok açıklanmaktadır. tam talimatİki sağlayıcı için Mikrotik Router nasıl ayarlanır.

İki İnternet sağlayıcısına eşzamanlı bağlantı, sağlayıcılardan biriyle bağlantı olması durumunda bir yedekleme iletişim kanalı düzenlemek için kullanılır. Bu durumda, yönlendirici otomatik olarak ikinci sağlayıcıya geçer ve internette çalışmaya devam edebilirsiniz. Çalışanların internete sürekli erişimin sağlanması gerektiği organizasyonlarda iki sağlayıcıya bağlanma kullanılır.

Hata toleranslı bir internet kanalını sağlamak için, birkaç sağlayıcı kurmayı destekleyen bir yönlendiriciye ihtiyacınız olacaktır. Mikrotik yönlendiricileri bu görev için mükemmel bir şekilde uygundur.

Bağlantı açıklaması

Örnekte, Mikrotik RB951UI-2HND yönlendiricisini kullanacağız.

İlk sağlayıcıdan gelen bir kablo, yönlendiricinin 1. bağlantı noktasına bağlanır, 2. sağlayıcıdan gelen bir kablo, LAN bilgisayarlarını bağlamak için 3-5 ve Wi-Fi bağlantı noktaları bağlanır.

1. bağlantı noktası, DHCP sağlayıcısından ağ ayarlarını dinamik olarak alacak şekilde yapılandırılacaktır. Sağlayıcı yönlendirici dinamik IP adresini verir. 10.10.10.10

2. port, 20.20.20.20.20, Gateway 20.20.20.1 ve Maske 255.255.255.0 için statik IP adresine manuel olarak yapılandırılacaktır.

Varsayılan yapılandırma sıfırlama

Winbox programı ile, Mikrotik Router'u sıfırdan iki sağlayıcıya yapılandırmak için varsayılan fabrika yapılandırmasını sıfırlıyoruz:

Winbox'ta yeniden başlatıldıktan sonra, MAC listesindeki cihaz adresini seçin ve kullanıcıya bağlanın yönetici. şifre olmadan.

1. WAN bağlantı noktasını ayarlama

DHCP sağlayıcısından gelen ağ ayarlarının dinamik makbuzunda 1. bağlantı noktasını yapılandırın.

1. Menü aç IP - DHCP istemcisi;
2. Listede görünen pencerede Arayüz. Bir arayüz seçin eter1;
3. Varsayılan rota ekleyin. Seç Hayır.;
4. düğmesine basın TAMAM MI..

Şimdi IP adresini sağlayıcılardan, sütunda görüntülenen sağlayıcıdan aldık. IP adresi.

İnternet bağlantısı olduğunu kontrol edin. Menü aç Yeni terminal Ve komutu girin ping ya.ru.. Gördüğünüz gibi, ping.

2. WAN portu kurma

2. port, statik bir IP adresine ayarlanır 20.20.20.20, Ağ Geçidi 20.20.20.1 ve Maske 255.255.255.0

1. Menü aç IP - adresler.;
2. Ekle düğmesini tıklayın (mavi haç);
3. Alanda görünen pencerede Adres Statik IP adresini / alt ağ maskesini itin 20.20.20.20/24 ;
4. Listede Arayüz. Bir arayüz seçin eter2.;
5. düğmesine basın TAMAM MI..

İnternet ağ geçidinin çıkarım IP adresi:

1. Menü aç IP - Yollar.;
2. Ekle düğmesini tıklayın (mavi haç);
3. Alanda görünen pencerede Ağ geçidi Ağ geçidinin IP adresini itin 20.20.20.1 ;
4. düğmesine basın TAMAM MI..

IP adresi ekle Dns sunucusu:

1. Menü aç IP - DNS.;
2. Alanda Sunucular Örneğin, sunucu DNS'nin IP adresini itin. 8.8.8.8 ;
3. Kene kaldırmak Uzak isteklere izin ver.;
4. düğmesine basın TAMAM MI..

İnternet bağlantısı olduğunu kontrol edin. İlk sağlayıcının kablosunu çıkarın, menüyü açın Yeni terminal Ve komutu girin ping ya.ru..

Pings Go, her şeyin doğru yapılandırıldığı anlamına gelir. İlk sağlayıcının kablosunu geri bağlayabilirsiniz.

LAN portları 3-5 ve Wi-Fi ayarlama

Lan limanları 3-5, tek bir Wi-Fi arayüzü ile birleştirilecektir. yerel ağhangi bilgisayarların bağlanacağı.

LAN portlarını 3-5 anahtar olarak birleştiriyoruz

1. Menü aç Arayüz.;
2. Bir çift fare yapın Arayüze tıklayın ether4;
3. Listede Ana liman. Seç eter3. (ana liman anahtarlarımız);
4. düğmesine basın TAMAM MI.

Arayüz için aynısını tekrarlayın eter5..

Ether4 ve Ether5 bağlantı noktalarının karşısında S harfi (Slave - Slave) görünecektir.

Bir arayüz oluştur Köprü-yerel ve LAN limanlarını ve Wi-Fi'sini getirin

LAN bağlantı noktalarını 3-5 vermek için, bir ağa Wi-Fi'den birleşmesi için bir köprü arayüzü oluşturmanız ve Svitchemaster'ın bir sihirbazı eklemeniz gerekir. eter3. ve Wi-Fi arayüzü wlan1.

Bir arayüz oluştur köprü-yerel:

1. Menü aç Köprü;
2. düğmesine basın Ekle. (mavi haç);
3. Alanda İsim. Arayüzün adını itin köprü-yerel;
4. düğmesine basın TAMAM MI..

Svitche'nin ana limanını ekleyin eter3. içinde köprü-yerel:

1. Sekmeyi tıklayın Limanlar. ve tıklayın Ekle. (mavi haç);
2. Listede Arayüz. Ana Ethernet bağlantı noktası terini seçin eter3.;
3. Listede Köprübir arayüz seçin köprü-yerel;
4. düğmesine basın TAMAM MI..

Ekle Wifi Arayüz B. köprü-yerel:

1. Sekmede Limanlar. düğmesine basın Ekle. (mavi haç);
2. Listede Arayüz. Kablosuz bir arayüz seçin Wlan1;
3. Listede Köprübir arayüz seçin köprü-yerel;
4. düğmesine basın TAMAM MI..

Bir IP adresi arayüzü atarız köprü-yerel:

1. Menü aç İp -Adresler.;
2. düğmesine basın Ekle. (mavi haç);
3. Alanda Adres IP adresini ve LAN maskesini girin 192.168.88.1/24 ;
4. Listede Arayüz. LAN arayüzünü seçin köprü-yerel;
5. düğmesine basın TAMAM MI..

Kurulum DHCP Sunucusu yerel ağ.

Alınan yönlendiriciye bağlı bilgisayarlara ağ ayarları Otomatik olarak, DHCP sunucusunu yapılandırın:

Wi-Fi Kurulumu

İlk önce Wi-Fi'yi açıyoruz:

1. Menü aç Kablosuz.;
2. Arabirimdeki sol fare düğmesine basın wlan1 ve tıklayın etkinleştirme (Mavi kene).

Mikrotik erişim noktasına bağlanmak için bir şifre oluşturun:

1. Açık sekme Güvenlik Profilleri ve sol fare düğmesine çift tıklayın varsayılan.;
2. Listede görünen pencerede Mod.seç Dinamik anahtarlar.;
3. Protokol tarafından kayıt olan kontrol işaretini kontrol edin WPA2 PSK.;
4. Alanda WPA2 Ön Paylaşılan Anahtar Wi-Fi noktasına bağlanmak için şifreyi girin;
5. düğmesine basın TAMAM MI..

Wi-Fi parametrelerini yapılandırın Mikrotik:

1. Açık sekme Arayüzler. ve Wi-Fi arayüzündeki sol fare düğmesini çift tıklatın wlan1ayarlarına gitmek için;
2. Sekmeyi tıklayın Kablosuz.;
3. Listede Mod. Çalışma modunu seçin aP Köprüsü;
4. Listede Grup Seç 2 GHz-B / G / N (Standartlar Wi-Fi Noktası çalışacak);
5. Listede Kanal genişliği. Kanalın genişliğini belirtin 20 / 40mhz HT yukarıdakiiçin kablosuz cihazlar Maksimum hızda 40 MHz kanal genişliği ile bağlanabildiler;
6. Listede Sıklık Wi-Fi'nin hangi sıklıkta çalışacağını belirtin;
7. Alanda Ssid Wi-Fi ağı adını belirtin;
8. düğmesine basın TAMAM MI..

Nat'ı ayarlama.

Bilgisayarlara İnternet erişimi alın, NAT'ı yapılandırmanız gerekir.

İlk sağlayıcı için NAT kuralını ekliyoruz:

İkinci sağlayıcı için NAT kuralını ekliyoruz:

Şimdi internet yönlendiriciye bağlı bilgisayarlarda görünmelidir. Şunu bir kontrol et.

İki sağlayıcı arasında internet kanallarını kurma

İki sağlayıcı arasında internet kanallarının değiştirilmesini yapılandırmak için kullanacağız rotalar (Rotalar) ve yerleşik yardımcı program Netwatch.

İnternet trafiğinin gidebileceği iki rotaya sahip olacağız. Tüm trafikler, 1. sağlayıcı aracılığıyla varsayılan olarak gidecektir.

1. sağlayıcıyla bir bağlantı aniden kaybolursa, 2. rotayı etkinleştiririz ve tüm trafikler 2. sağlayıcıdan geçer.

İletişim, 1. sağlayıcıdan restore edilmez, 2. rotayı devre dışı bırakırız ve tüm trafikler 1. sağlayıcıya geçecektir.

NetWatch yardımcı programı, IP adresi durmayı bırakıp tekrar başlamışsa, İnternette bir IP adresini ping yapmanıza ve komut dosyalarını yürütmeye yardımcı olacaktır. Rotanın aktivasyonunu ve devre dışı bırakılmasını sağlar.

İlk önce, özelliklerini düzenleyemeyiz gibi otomatik olarak oluşturulan ilk sağlayıcı aracılığıyla rotayı silin.

1. Menü aç IP - Güzergahlar;
2. Bir ağ geçidi ile ilk sağlayıcıdaki sol fare düğmesini tıklayın. 10.10.10.1 Unrechable;
3. Sil düğmesine (kırmızı eksi) tıklayın.

Şimdi ikinci sağlayıcı rotasının parametrelerini değiştirin:

1. Menü aç IP - DHCP istemcisi;
2. Arayüzdeki sol fare düğmesine çift tıklatın eter1;
3. Sekmeyi tıklayın Durum.;
4. Ağ Geçidinin IP adresini alandan yazın Ağ geçidi. Birinci sağlayıcı aracılığıyla bir rota oluştururken gerekli olacaktır.

Şimdi birinci sağlayıcı aracılığıyla bir rota ekleyin:

3. rotada, Google sunucusu için yalnızca 1. sağlayıcı aracılığıyla Ping'e göre gerekli olacaktır.

Ayrıca, 2. sağlayıcı üzerinden Lemingn IP adresini 8.8.4.4 devre dışı bırakacak olan güvenlik duvarına bir kural ekleyin. Aksi takdirde, NetWatch yardımcı programı, 1. Sağlayıcı ile bağlantının geri kazandığını ve bir daireye sürekli rotaları değiştireceğini düşünecektir.

NetWatch, Internet ile bağlantıyı pingle kontrol edecektir. google sunucuları IP adresi ile 8.8.4.4. Sunucu perdeyi durdurmaz, 2. rotayı etkinleştiren komut dosyası yürütülür ve trafik 2. sağlayıcıdan geçecektir. 1. Sağlayıcı aracılığıyla bağlantı kurulduktan sonra, 2. rotayı devre dışı bırakan ve trafik 1. sağlayıcıdan geçecek olan başka bir komut dosyası tamamlanacaktır.

İki sağlayıcı arasında internetin değiştirilmesini kontrol etme

İki sağlayıcı arasında anahtarlamanın nasıl çalıştığını kontrol edin.

İki sağlayıcı için Mikrotik yönlendiricisini ayarlamak doğru çalışır. Şimdi Google Server Ayırım Aralığını büyütebilirsiniz.

Bu ayarda mikrotik yönlendirici iki sağlayıcı için tamamlanır.

Giriş

Bu yazıda, iki internet kanalının rezervasyon modunda çalışmasını açıklayacağız. Yani, bir sağlayıcı sürekli (ana kanal) çalışacak ve ikincisi, internet ilk kanal (yedek kanal) aracılığıyla kullanılamıyorsa, ikincisi açılır.

Rezervasyon modunda iki sağlayıcı ile çalışmak için mikrotik cihazların çalışmasını yapılandırmanın iki ana yolu vardır. Kısaca, "olarak tanımlanabilirler" hızlı yol"Ve" entegre yöntem ". İlk yöntem yapılandırmak için hızlıdır. İsminden net bir şekilde neler izlenir. İkinci yol, kurulumda daha karmaşıktır, ancak aynı zamanda ilk şekilde doğuştan oluşan eksikliklerden yoksun.

Ağ şeması

Harici Ağ:
İnternet Kanalı Numarası 1
Yönlendirici IP Adresleri: 10.1.100.1
Sağlayıcının IP adresleri: 10.1.100.254
Maske: 255.255.255.0.

İnternet Kanalı Numarası 2
Yönlendirici IP Adresleri: 10.1.200.1
Sağlayıcının IP adresleri: 10.1.200.254
Maske: 255.255.255.0.

Dahili ağ:
Yönlendirici IP Adresleri: 192.168.15.1
Maske: 255.255.255.0.

Hızlı yol

Grafik arayüzü ile

Aşağıdaki manipülasyon, IP adreslerini zaten iki harici arayüze kadar yapılandırdığınız, reçete ve maskeli alacak kuralları yaptılar.

Her iki sağlayıcıdan da statik IP adresleriniz varsa, o zaman en basit ayar Rezervasyonlar, birinci ve ikinci sağlayıcıdaki rota önceliklerinin kurulmasına indirgenir.

IP \u003d\u003e rotaları ve sağlayıcıya giden rota için gidin-1, kontrol ağ geçidi \u003d Ping ve Mesafe \u003d 5'i belirtin. Sağlayıcı-2 üzerindeki rotanın ayarlarında, Gateway \u003d Ping ve Mesafe \u003d 10'ı kontrol edin. Parametre değerleri Mesafe Mutlaka böyle olmayın. Sağlayıcı-1 değerlerinin sağlayıcı-2'den daha az olması önemlidir. Kural olarak, statik yollar önceliklidir ( Mesafe) Eşit birim. Örneğin, başka bir değere yol açtık. Böyle bir şema ile, tüm trafik sağlayıcısı-1'den geçecek, sağlayıcı-2 yoluyla geyik edilecektir. Her iki sağlayıcının ağ geçitleri periyodik olarak seçilecek ve sağlayıcının ağ geçidi mevcut olmadığında, rota ondan kapanacak ve trafik sağlayıcıya giden yola çıkacak - 2. Sağlayıcı-1 ağ geçidi kullanılabilir hale geldikten sonra, trafik tekrar geçecek.

Bu şemanın dezavantajı, internete, yani bir sonraki düğümün kullanılabilirliği olmasıdır. Genellikle, sağlayıcının ekipmanı (bir sonraki düğüm) mevcut olduğunda durumlar vardır ve internet yoktur. Çok parlak bir örnek, ADSL modem üzerinden internettir. Komşu düğüm (ADSL modem) uygun olacak ve internet değil.

İlk İnternet Kanalı için:

İkinci internet kanalı için:

Konsoldan

İlk yönlendirici:

/ IP rotası.
Check-Gateway ekle \u003d Ping Mesafesi \u003d 5 Gateway \u003d 10.1.100.254

İkinci yönlendirici:

/ IP rotası.
Check-Gateway Ekle \u003d Ping Mesafesi \u003d 10 Gateway \u003d 10.1.200.254

Kapsamlı yol

Grafik arayüzü ile

Aşağıdaki manipülasyonlar, IP adreslerini zaten iki harici arayüze kadar yapılandırdığınızı, reçetelerinin reçeteli ve NAT kuralları yaptığını ima eder.

"Entegre" yöntemi, yerleşik NetWatch yardımcı programının kullanılması, İnternetin İnternet kullanılabilirliğini, ilk internet kanalından 8.8.4.4 düğümüne 8.8.4.4 düğümünü kullanarak dakikada bir kez kontrol edeceğiz. İkinci internet kanalından bu düğüme erişim her zaman kapalı olacaktır. Böylece, ping geçerse - bu, ilk kanalın çalışma koşulunda olduğu ve açık olması gerektiği anlamına gelir ve 2. kanal kapatılmalıdır. Ve aksine: Ping geçmezse - bu, ilk kanalın çalışmadığı ve kapatılması ve 2. kanalda olduğu anlamına gelir. Ping, geçiş yapmaya başlar başlamaz. İstenilen rota yardımcı programı, atayacağımız yorumla belirlenir. Bu yöntemi görebileceğiniz gibi, ilk yöntemden yoksun.

Rotalara yorum ekleyin. İlk sağlayıcı aracılığıyla rotaya bir yorum ekleyin ISP1, ikinci sağlayıcı aracılığıyla rotaya bir yorum ekleyin ISP2. İlk sağlayıcı için bir örnek verelim. İkincisi için, eylem benzer şekilde yapılır.

8.8.4.4'e göre statik bir rota oluşturun. 1. internet sağlayıcısının ağ geçidinden 8.8.4.4 adresine bir rota oluşturmak için IP \u003d\u003e rotalarında.

2. WAN arayüzü üzerinden 8.8.4.4 aracılığıyla kural bloke etme erişimini ekleyin.

Bir vardiya koşulu ekleyin. Aletlerde \u003d\u003e Ana bilgisayar sekmesinde NetWatch, yeni bir "NetWatch Host" oluşturun. Graf "Host" İzlenen IP adresini belirtin "Aralık" - Yapılan denetimlerin sıklığı ve "Zaman aşımı" - Tetikleyicinin işe yarayacağı ana bilgisayarın erişilemesinin zamanı.

Not: Örnek 8.8.8.8 adresini gösterir. Bu bir yazım hatası. Adres olmalı 8.8.4.4

"Yukarı" sekmesinde, komut dosyasını aşağıdaki içeriğe ekleyin:
/ IP rota seti devre dışı \u003d Hayır
/ IP Rota Seti Devre Dışı \u003d Evet

"Aşağı" sekmesinde, komut dosyasını aşağıdaki içeriğe ekleyin:
/ IP Rota Seti Devre Dışı \u003d Evet
/ IP rota seti devre dışı \u003d Hayır

Konsoldan

/ IP rotası.
Yorum ayarla \u003d ISP1
Yorum ayarla \u003d ISP2

/ IP rotası.
Mesafe ekle \u003d 1 DST-Address \u003d 8.8.4.4 / 32 Gateway \u003d 10.1.100.254

/ İp güvenlik duvarı filtresi
Action \u003d Drop Chain \u003d Çıkış DST-Address \u003d 8.8.4.4 Out-Interface \u003d Ether4-Wan2 Protocol \u003d ICMP Yorum \u003d "Deny 8.8.4.4, ayrılmış İnternet Kanalı ile"

/ Aracı NetWatch
Down-script \u003d "/ IP rota seti devre dışı \u003d Evet \\ r \\
\\ N / ip rota seti devre dışı \u003d Hayır "HOST \u003d 8.8.4.4 \\
UP-Script \u003d "/ IP Rota Seti Devre Dışı \u003d No \\ r \\
\\ N / ip rota seti devre dışı \u003d YES "

Kontrol

Mikrotik tarafından video kursu.

Bir video kursunu kullanarak Mikrotik ayarını keşfedebilirsiniz. Kurs, resmi eğitim kursundan tüm temaları içerir MTCNA + Uygulamada yararlı olan birçok ek malzeme.

D.oboğa günü. Geçen gün CCR1036-8G-2S + 'nın hata toleransı organizasyonu tarafından düzeltildi. İnternette çok fazla malzeme sarılı, ama çoğu bana uymuyordu. Sonra, görevlerimi çözmek için kullanışlı olanı ve tamamen uygun gördüm. Aşağıdaki ayar% 100 çalışma seçeneğidir.

İki internet sağlayıcısını bir yönlendiriciye bağlama seçeneğini zaten kullandık, koşuyoruz işletim sistemi Mikrotik Routeros. Ancak, en kolay seçeneğiydi. Bu her zaman belirli koşullarda uygun olmaz. Bu nedenle, bugün, yönlendiriciyi iki sağlayıcıya bağlanmak için bir şartla yapılandırmanın bir dizi özel örneği alır ve güvenlik duvarı, NAT, yönlendirme ve yüklemenin bazı nüansları hakkında daha ayrıntılı olarak duralım veya ikinci kanalını destek olmak.

Ve daha fazla hikaye belirli örneklerle birlikte olacağından, belirli koşullarla başlayalım. 2 sağlayıcımız var. Her ikisiyle iletişim, PPPoE protokolü tarafından kurulur. Bu makalede ayrıntılı olarak açıklanan sağlayıcıya bağlantı nasıl yapılandırılır, bu yüzden bu süreci kaçıracağız. Sadece sağlayıcı numarasının 1 numaralı bağlantı noktasına bağlı olduğu ve PPPoE bağlantısının adı ISS1'dir. Sağlayıcı Numarası 2, Ether2 portuna bağlı ve PPPoE bağlantısı adına sahiptir - ISP2.

Gelecekte olduğumuz tek an, bağımsız olarak yönlendirme kuralları oluşturacağız, bu nedenle sağlayıcılara bağlantılar oluştururken, PPPoE bağlantıları için DIAL OUT OUT sekmesindeki Varsayılan Rota Noktasından bir kene kaldırmanız gerekir.

Nat.

Böylece ağımızın doğru çalışması ve internete erişimi var, NAT'ı yapılandırmamız gerekiyor. Bunu yapmak için, IP-\u003e Güvenlik Duvarı bölümünü açın, NAT sekmesine ve "+" düğmesine gidin, yeni bir kural ekleyin.

Genel sekmesinde, zincir Scrnat seçilir. Dış alanın değeri. Arayüz, bu durumda, iki sağlayıcımız ve sırasıyla 2 farklı arayüz olduğumuz için doldurulmuyoruz.

Sonra Eylem sekmesinde, eylem alanının bir parametresi olarak maskeliade değerini ayarladık.

Kuralları OK düğmesine göre kaydedin. NAT'ı ayarlamak, tam olarak kabul edilebilir.

Güvenlik duvarı

Bir sonraki adımımız, yerel ağımızı korumak için tasarlanmış olan güvenlik duvarı işlevini yapılandırmaktır.

Yönlendiricimiz aracılığıyla hangi paketler düzenleneceğine göre, bazı temel kurallar oluşturmamız gereken Filtre Kuralları sekmesine gidin.

Bu bölümde herhangi bir kuralınız varsa, önce onları silmelisiniz.

"+" Düğmesine basılarak yeni kurallar eklenebilir, daha sonra, örneğin, Ping - Zincir \u003d Giriş Protokolü \u003d ICMP Action \u003d ICMP Action \u003d Ceck, Genel sekmesinde, Zincir - Giriş ve Protokol Protokolü'nü seçiyoruz. - ICMP.

Bundan sonra, Eylem sekmesinde, eylem alanının bir parametresi olarak Acept'i seçin.

Bu eylem yaklaşık 14 kez, on dört farklı kural için tekrarlanmalıdır.
Ping'e izin vereyim

zincir \u003d giriş protokolü \u003d icmp eylem \u003d kabul

zincir \u003d ileri protokol \u003d icmp eylem \u003d kabul

Yerleşik bileşiklere izin vereyim

zincir \u003d giriş bağlantısı-durum \u003d kurulan eylem \u003d kabul

zincir \u003d ileri bağlantı-durum \u003d kurulan eylem \u003d kabul

İlgili bileşikleri çözmeme izin verinben

zincir \u003d giriş bağlantısı-durum \u003d ilgili eylem \u003d kabul

zincir \u003d ileri bağlantı-durum \u003d ilgili eylem \u003d kabul

Başarılı bağlantılar yok

Zincir \u003d giriş bağlantısı-durum \u003d geçersiz eylem \u003d damla

zincir \u003d ileri bağlantı-durum \u003d geçersiz eylem \u003d damla

UDP protokolünde bağlantılara izin ver

zincir \u003d giriş protokolü \u003d UDP eylem \u003d kabul

zincir \u003d ileri protokol \u003d UDP eylem \u003d kabul

Yerel ağımız için İnternet'e erişin. Yerel ağ önekine sahip olanlar için, 192.168.0.0 / 24'ten itibaren, yerine oturtun.

zincir \u003d ileri src-adres \u003d 192.168.0.0 / 24 eylem \u003d kabul

Yönlendiriciye, yalnızca yerel ağdan, yukarıdaki gibi - 192.168.0.0/24, adresiyle değiştirmek gerekir.

zincir \u003d giriş src-adres \u003d 192.168.0.0 / 24 eylem \u003d kabul

Ve sonunda, her şeyi yasakla

zincir \u003d giriş eylemi \u003d damla

zincir \u003d ileri işlem \u003d damla

Her seferinde yeni bir pencere açmak ve gerekli tüm alanları doldurmanın oldukça sıkıcı olduğu açıktır, bu nedenle aşağıda listelenen komutları ayarlamak için yeni terminal açmayı öneririm. Çok daha az zaman alacak.

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d Giriş Protokolü \u003d ICMP Action \u003d Kabul

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d İleri Protokolü \u003d ICMP Action \u003d Kabul

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d giriş bağlantısı-durum \u003d kurulan eylem \u003d kabul

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d ileri bağlantı-durum \u003d kurulan eylem \u003d kabul

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d giriş bağlantısı-durum \u003d ilgili eylem \u003d kabul

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d İleri bağlantı-durum \u003d ilgili eylem \u003d kabul

iP Güvenlik Duvarı Filtresi Ekle Zinciri \u003d Giriş Bağlantısı-durum \u003d Geçersiz Eylem \u003d Bırak

iP Güvenlik Duvarı Filtresi Ekle Zincir \u003d İlet Bağlantı-durum \u003d Geçersiz Eylem \u003d Bırak

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d Giriş Protokolü \u003d UDP Action \u003d Kabul

iP Güvenlik Duvarı Filtresi Ekle Zinciri \u003d İleri Protokolü \u003d UDP Action \u003d Kabul

iP Güvenlik Duvarı Filtresi Ekle Zincir \u003d İleri SRC-Adresi \u003d 192.168.0.0 / 24 Eylem \u003d Kabul

iP Güvenlik Duvarı Filtresi Ekle zinciri \u003d Giriş SRC-Adresi \u003d 192.168.0.0 / 24 Eylem \u003d Kabul

iP Güvenlik Duvarı Filtresi Zincir Ekle \u003d Giriş Eylemi \u003d Bırak

iP Güvenlik Duvarı Filtresi Ekle Zincir \u003d İleri Eylem \u003d Bırak

Ancak hiçbir şekilde bunu yapmadık, sonuç olarak, aşağıdakileri almalıyız.

Yönlendirme
İkincisi, ancak en önemli eylemlerden biri rotaların oluşturulması. Bağlantılarımızı sağlayıcı ile işaretlememiz gerçeğiyle başlayalım. Bu, bir sağlayıcının arayüzüne gelen tüm talepler için arayüzünü bırakarak gereklidir. NAT için sahip olsak bu oldukça kritiktir, erişim sağlaması gereken herhangi bir kaynak var. küresel ağ İnternet. Örneğin, bir web sunucusu veya posta sunucusu vb. Bu tür hizmetlerin çalışmalarını nasıl organize edeceğimiz, daha önce gelişmiş Mikrotik Routeros ayarlarında zaten düşündük: Bağlantı Noktası Yeniden Yönlendirme - DSTNAt.

Bunu yapmak için, IP Bölümünde -\u003e Güvenlik Duvarı'ndaki her sağlayıcı için Mangle Sekmesindeki iki ayrı kural oluşturmamız gerekir.

Genel sekmesinde, öne doğru zincir zinciri seçin ve bir IN.Interface olarak, ilk ISSP1 sağlayıcısının bağlantısının PPPoE arayüzünü seçin.

Ve Eylem sekmesinde, bir eylem parametresi olarak, Bağlantıyı İşaretle'yi seçin ve aşağıda görünen yeni bağlantı işareti alanında, bu bağlantının etiket adını, örneğin, ISP1-Con.

Aynı, ikinci sağlayıcı için tekrarlayın. Sadece bir IN.Interface olarak, ISS2'yi seçin ve yeni bağlantı işareti alanında, ikinci ISP2-Con bağlantısı için etiketi girin.

Şimdi, aynı sağlayıcının arayüzünden geçen bir talebe bir cevap göndermek için, rotaları işaretleyecek 2 kural oluşturmamız gerekiyor.

Burada, zincir zinciri olarak, Pretorouting değerini seçin, SCR.Address alanında, yerel ağımızın 192.168.0.0 / 24'ün ön ekini girin ve CJNnexection Mark'ı ilk ISSP1'in bağlantı etiketini seçin. -Con sağlayıcısı.

Eylem sekmesine ve Eylem Alanına gidin, Mark Yönlendirme'yi seçin ve aşağıda görünen Yeni Yönlendirme Mark alanında, örneğin ISP1-RT. Etiketi bu sağlayıcının rotasına atarız.

Tam olarak utanmış, ikinci bağlantı için yaratırız. Sırasıyla, bir bağlantı işareti olarak, ISP2-Con'u ve yeni yönlendirme işareti olarak seçin, ISP2-RT'ye uygun.

Ve şimdi, herhangi bir kaynağımız varsa, yalnızca bir sağlayıcının arayüzü yoluyla sağlayacak şekilde ihtiyacınız olan erişim varsa, bu kaynakların bir listesini oluşturmamız ve bu listedeki adresleri olan tüm bağlantıları bu listeden işaretlememiz gerekir.

Örneğin, 2 sayılı sağlayıcı No. 2 - ISP2, 181.132.84.0/22'lik bir dizi adrese sahip yerel kaynaklara sahiptir. Ve sağlayıcı sayısı 1, ping oyun sunucuları Çevrimiçi oyunlar, çok daha az. Ve bu sunucuların IP adreslerinin 90.231.6.37 ve 142.0.93.168 olduğunu biliyoruz.

IP bölümünün -\u003e Güvenlik Duvarı adres listelerine gidin. Ve birer birer birer bu IP adreslerini veya alt ağlarını bir bütünüyle ekleyin, ISP1 veya ISP2 adları ile, hangi sağlayıcıya bu kaynaklara yönlendirilmelidir.

Ve sağlayıcıların çoğu kendi DNS sunucularını kullandığı için, diğer ağlardan sıklıkla yasaklanan erişim, daha sonra bu listelerde, bu listelerde, etki alanı adı istekleri için sağlayıcıların her birinin DNS sunucularının adreslerini eklemek son derece önemlidir. belirli sağlayıcının arayüzü aracılığıyla onlara gidin..

Ve Eylem sekmesinde, eylem - Mark Yönlendirme, Yeni Yönlendirme Markası - ISP1-RT.

İkinci sağlayıcının adresleri listesi için aynı şeyi tekrar ediyoruz. Ancak buna göre, bir dst.address listesi olarak, ISP2'nin ikinci sağlayıcısı için adreslerin bir listesini belirtin. Ve yeni yönlendirme işareti için bir etiket olarak - ISP2-RT rotası.

Ve yönlendirme ayarının çoğuna devam edin - IP bölümünde -\u003e rotalarında statik yönlendirme kuralları oluşturma.

Her iki sağlayıcımızın kanalları neredeyse eşitse, o zaman böyle bir rota ekleyin: Fakat Genel sekmesi, Rota Oluşturma penceresi, DST.Address için 0,0.0.0/0 yazıyorum ve ISSP1 ve ISP2 arayüzlerimizin arayüzlerini seçin. Yol almak. Diğer tüm parametreler, değişmeden bırakın.

Böyle bir varyantta, her iki sağlayıcı üzerindeki yük eşit olarak dağıtılacaktır.

Bunu yapmak istiyorsak, ikinci sağlayıcı rezerve olursa ve "dahil edilmediği durumlarda ya da ilk olarak yüklendiğinde" dahil edilmesini isterse, iki rota oluştururuz.

İlk dst.address - 0.0.0.0/0, Gateway - ISP1.

Ve ikinci dst.address - 0.0.0.0/0, ağ geçidi - ISS2, mesafe - 2.

Ve yine de, daha önce işaretli yolların kaybedileceği sağlayıcıların her biri için iki ayrı rota oluşturmanız gerekir. Yönlendirme Mark alanının, belirli bir sağlayıcı için daha önce atadığı bir etiketi göstereceği gerçeğinden farklı olacaktır.

İlk önce bir dst.address - 0.0.0.0.0/0, Gateway - ISSP1, Yönlendirme Markası - ISP1-RT ve ikincisi, sırasıyla DST.Address - 0.0.0.0/0, Gateway - ISS2, Yönlendirme Markası - ISP2 -Rt

Şimdi iki sağlayıcı ile çalışın uygun şekilde yapılandırılmıştır. Gelen tüm bağlantılar işaretlenmiştir ve taleplerin geldiği arabirimden geçer. Bir veya başka bir kaynağa itirazda bulunur ve her iki kanaldaki yükler dengelenmiştir.

\u003e Komut dosyaları olmadan Mikrotik'teki kanalların rezervasyonu

Mikrotik. Yük devretme. Yük dengeleme

Yük devretme veya yük dengelemesinin nasıl yapıldığını, dünyaya iki veya daha fazla kanala sahip olmanın nasıl yapılması gerektiğinde, çalışma yapılandırmalarını açıklayan birçok makale ve talimat buldum. Ancak hemen hemen her yerde açıklama, her şeyin işe yaradığı ve farklı seçeneklerdeki farklılıkları tanımlayan açıklık bulamadı. Bu adaletsizliği düzeltmek ve yük devretme için en basit seçenekleri toplayın ve bir makalede yük devretme ve yük dengeleme konfigürasyonlarını yüklemek istiyorum.

Böylece, yerel ağımızı ve internetteki iki kanalı bağlayan bir yönlendiricimiz var (Ana ISSP1 ve Yedekleme ISS2).

Yapabileceğimize bakalım:

Ana'yı reddederken trafik gönderebileceğiniz bir yedek kanalımız var. Fakat Mikrotik'in kanalın düştüğünü nasıl anlatır?

Kanalların en basit rezervasyonu

En basit yük devretme, rota önceliği (Mikrotik / Cisco, Linux / Windows'taki metrik mesafe) ve ayrıca ağ geçidi kullanılabilirliği kontrol mekanizması - CHECK-Gateway kullanılarak yapılandırılabilir.

Aşağıdaki yapılandırmada, tüm internet trafiğinin tamamı 10.100.1.254 (ISP1) 'de varsayılan olarak gider. Ancak, 10.100.1.254 adresi erişilemez hale gelmez (ve rota etkin değil) - Trafik 10.200.1.254 (ISP2) sonrasında gidecektir.

yapılandırma: En basit yük devretme

# Ağ sağlayıcıları ayarlayın:





### Geleneksel şekilde kanal yedeklemeleri sağlama ###
# Nokta 2 Farklı önceliklerle varsayılan ağ geçidi
/ IP Rota Ekle DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d 10.100.1.254 Mesafe \u003d 1 Check-Gateway \u003d Ping
/ IP Rota Ekle DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d 10.200.1.254 Mesafe \u003d 2 Check-Gateway \u003d Ping

Check-Gateway \u003d Mikrotik için ping böyle işlenir:
Periyodik olarak (her 10 saniyede bir) Ağ geçidi, ICMP paketine (ping) referans olarak kontrol edilir. Kayıp paket 10 saniye dönmediyse kabul edilir. İki kayıp paketten sonra, ağ geçidi erişilemez olarak kabul edilir. Ağ geçidinden yanıtı aldıktan sonra, kullanılabilir hale gelir ve paket sayacı sıfırlanır.

Yük devretme daha derin bir kanal analizi ile sağlama.

Son örnekte, sağlayıcının ağ geçidi görünür ve pins olduğunda, durumun yanı sıra her şey harika, ancak internet yok. Sağlayıcının canlılığına karar vermek mümkün olsaydı, PingAngu, geçitin kendisi değil, arkasındaki bir şey.

Bu mühendislik görevini çözmek için iki seçenek biliyorum. İlk ve en yaygın komut dosyalarını kullanmaktır, ancak bu makalede, komut dosyalarına dokunmayacağımızdan beri, ikincide daha fazla duracağız. Kapsam parametresini kullanarak tamamen doğru değil, sağlayıcının kanalını ağ geçidinden daha derinlemesini denememize yardımcı olacaktır.
Prensip basittir:
Varsayılan Ağ Geçidi'nin geleneksel talimatları yerine \u003d sağlayıcının ağ geçidi, varsayılan ağ geçidinin her zaman mevcut olan (örneğin 8.8.8.8 veya 8.8.4.4) ve sırayla sağlayıcının ağ geçidinden bazılarının bir kısmı olduğunu söyleyeceğiz.

yapılandırma: Daha derin bir kanal analizi ile yük devretme

# Ağ sağlayıcıları ayarlayın:
/ IP Adresi Add adresi \u003d 10.100.1.1 / 24 Arabirim \u003d ISP1
/ IP Adresi Add adresi \u003d 10.200.1.1 / 24 Arabirim \u003d ISP2
# Yerel arayüzü ayarla
/ IP Adresi Add adresi \u003d 10.1.1.1 / 24 Arabirim \u003d LAN
# NAT için yardım her şey yerel ağdan çıkıyor
/ IP Firewall NAT ekle SRC-Address \u003d 10.1.1.0 / 24 Eylem \u003d Masquerade Chain \u003d srcnat
### Yük devretmeyi daha derin bir kanal analizi ile sağlama ###
# Kapsam parametresini kullanarak, özyinelemeli yolları 8.8.8.8 ve 8.8.4.4 düğümlerine belirtiriz.
/ IP Rota Ekle DST-Address \u003d 8.8.8.8 Gateway \u003d 10.100.1.254 Kapsam \u003d 10
/ IP Rota Ekle DST-Address \u003d 8.8.4.4 Gateway \u003d 10.200.1.254 Kapsam \u003d 10
# NOKTA 2 NOKTASYONLARI Yürüyüşe çıkan yolun düğümleri boyunca
/ IP Rota Ekle DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d 8.8.8.8 Mesafe \u003d 1 Check-Gateway \u003d Ping
/ IP Rota Ekle DST-Address \u003d 0.0.0.0.0 / 0 Gateway \u003d 8.8.4.4 Mesafe \u003d 2 Check-Gateway \u003d Ping

Şimdi biraz daha ne olacağını analiz edeceğiz:
Cunning, sağlayıcının ağ geçidinin 8.8.8.8 veya 8.8.4.4'ün bir yönlendirici olduğunu ve her zamanki gibi trafik gönderdiğini bilmemesidir.
Mikrotik'imiz varsayılan olarak, tüm trafiğin tamamı, doğrudan görünmeyen 8.8.8.8.8'e gönderilebileceğine inanıyor, ancak 10.100.1.254'ten sonra kullanılabilir. Ve eğer 8.8.8.8 başına ping kaybolursa (Size, ISSP1'den geçitten rijit bir şekilde listelenmiş olduğunu hatırlatırım), daha sonra Mikrotik, tüm internet trafiğini 8.8.4.4'te veya daha doğrusu tekrarlayan 10.200'ü göndermeye başlayacaktır. 1.254 (ISS2).

Dağıtım forumunda, Nick altındaki kullanıcı Barvinok. Yazmaya başladı
makalelerin döngüsü, birikmiş tabanı birleştirmeye ve sistematikleştirmeye çalışıyor
genel olarak Mikrotik bilgisi ve özellikle iki sağlayıcı konusu üzerine. Bununla
her şeyi sayfama kopyalamamıza izin verilir. İsteyenler gidebilirler
İlk kaynak http://mikrotik.ru/forum/viewtopic.php?f\u003d1 5 & t \u003d 3280
Yönlendiricinin sıfırdan ayarlanması.
Bu bölüm, uygulanan bölümün kıtlığını dolduracaktır.
Konunun başlığına göre, iki sağlayıcı üzerinde bir yönlendirici kurdum. Yönlendirici modeli, RB7XX serisi demek istiyorum.
Kaynaklar:
Genel Bakış ve Mikrotik RB751U-2HND'nin İnternet bağlantısı olan bir kablosuz yönlendirici modunda.
Sergey Lagovsky: Mikrotik - İlk Kurulum

Kaynak
emin ol. Bir rehber yazmayacağım "için mikrotik
ev hanımları "," kabloyu sağa götürün ... "gibi. İşte belirtim
sadece kilometre taşları, adımlar. Ve tam olarak nasıl yapar - yukarıdakilerde
kaynaklar.
kullanırım komut satırı Winbox üzerinden terminal ve tüm örnekler tam olarak bu biçimde verilecektir.
1. İlk ayarları sıfırlayın:

/ Sistem sıfırlama yapılandırması

2. Yükseltme paketini indirin ve fareyi Winbox'ta sürükleyin. Daha ileri:

/ Sistem yeniden başlatıldı

ve yeniden başlattıktan sonra :

/ Sistem Routerboard Yükseltme

3. Bir köprü oluşturun son üç Limanlar:

/ Arayüz Köprüsü.
aDI ADD \u003d local_net
köprü ekle \u003d local_net arayüzü \u003d ether3
köprü ekle \u003d local_net arayüzü \u003d ether4
köprü ekle \u003d local_net arayüzü \u003d ether5

4. IP adresini bu köprüye atarım:

/ IP Adresi Add adresi \u003d 192.168.1.1 / 24 Arabirim \u003d local_net

5. BT DHCP sunucusunu yapılandırın:

/ IP DHCP-Sunucu Kurulumu

DNS sunucusunun mikrelenin adresine verilmesine izin verin: 192.168.1.1. Biraz sonra neden öyle olduğunu açıklayacağım.

6. Yönlendiricinin DNS isteklerine cevap vermesine izin verin:

/ IP DNS SET TOPLANTISI-Remote-Rement-Reals \u003d Evet

Ruhu Aktarın: Şimdi bir D-link kutusu işlevselliği sağladık :)

7. Sergey Lagovsky'nin tavsiyelerinde, her zaman Superuser adını değiştiririm:

/ Kullanıcı Add ADI \u003d SuperName Şifresi \u003d Superpass Group \u003d Tam
/ Çık.

Yeni bir kullanıcının altına gidip eskiyi kapatıyoruz:

/ Kullanıcı Yönetici Devre Dışı Bırak

8. Zaman sunucusunu ve saat dilimini atarız:

/ Sistem NTP istemci seti Enabled \u003d YES MODE \u003d UNICAST birincil-ntp \u003d 83.229.137.52 Secondary-ntp \u003d 213.141.146.135
/ Sistem Saati Saati Saat-Zone-Name \u003d Avrupa / Moskova

9. İnternet bağlantılarını yapılandırın.
İki eşitsiz sağlayıcının zor bir vakasını alacağım:

• İlk
  sağlayıcı, ADSL'de PPPoE ile İnternet Verdi: 8 Mbps Gelen / 0.8 Mbps
  dışa dönük. IP adresi ve diğer ağ ayarları sağlayıcı tarafından verilir.
  dinamik olarak.


• İkincisi çok yüksek kalitede, ancak optik üzerinde pahalı: 1 Mbps simetrik bir kanal. IP Adresi ve Ayarlar Statik (Sabit)

ADSL ve Favori Gerçek Zamanlı Hizmetler (VoIP) - Optics tarafından büyük bir kullanıcı tabanlı kullanıcı akışına ihtiyacımız var.

9.1. İlk sağlayıcıyı özelleştirin.
ADSL modemimizi köprü moduna (köprü) çeviriyoruz. Kabloyu birinci bağlantı noktasına (Ether1) takın.
PPPoE arayüzünü oluşturun ve yapılandırın:

/ Arayüz PPPOE-Client Add ADI \u003d UTK UTK UTK \u003d PPP_USER ŞİFRE \u003d PPP_PASW Kullanım-Peer-DNS \u003d YES Arabirimi \u003d Ether1

Sağlayıcı tek kişi olsaydı, eklemek mümkün olurdu " add-Varsayılan Rota \u003d YES". Ama başka bir görevimiz var.
"kullanım-Peer-DNS"Bu bağlantı ile sağlayıcı tarafından atanan DNS sunucularını kullanacağımız anlamına gelir.

/ IP Adresi Yazdır
/ Ping mail.ru.

bağlantı çalıştığından emin olur.

9.2. İkinci sağlayıcıyı yapılandırıyoruz.
Kabloyu çevre dönüştürücüsünden ikinci bağlantı noktasına yapışırız ve ayarları manuel olarak giriyoruz:

IP Adresi Add \u003d 80.45.21.34 / 30 Arabirim \u003d Ether2

Sağlayıcı DNS sunucularına verirse, açıkça onları ayarlayabilirsiniz:

/ IP DNS SET SERVERS \u003d IP_SERVER1, IP_SERVER2

Ve Google gibi halka açık olanları atayabiliriz: 8.8.8.8.8.8.4.4.

sana hatırlatıyorum
p. 6 yönlendiricimiz yerel için bir DNS sunucusudur.
ağ. Ama kendisi, nazik bir vücut olarak - iki konu berbat, keyfi
herhangi bir sağlayıcının DNS sunucularına dönüş.

10. Adres çevirisini açın.
Sağlayıcı için 1:

/ IP Firewall NAT ekle zincir \u003d srcnat eylem \u003d masquerade protokolü \u003d TCP çıkış arayüzü \u003d UTK

Ayrıca ikinci için de gidebilirsiniz, ancak belirtiyoruz. Kalıcı olan adres olarak, maskeli balayı kullanmıyoruz, ama snat:

/ IP Firewall NAT ekle zincir \u003d srcnat eylem \u003d SRC-NAT protokolü \u003d TCP SRC-Address \u003d 192.168.1.0 / 24 adresleri \u003d 80.45.21.34

Sağlayıcılarımız eşdeğer ise, bunu yapmak mümkün olacaktır:

/ IP Rota Ekle DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d UTK, Ether2 Check-Gateway \u003d Ping

Hemen hata toleransı ve düzgün yük dağılımı (adil yollar) alıyoruz.
Bunu yapmanı ve LAN bilgisayarlarından oynamanızı tavsiye ederim.
"Tracert Mail.ru", o zaman kapatılması, sonra başka bir harici arayüz -
sadece bu kontrol eder.
Sağlayıcılar sadece kanal kalınlığına eşit değilse, bunu yapabilirsiniz:

/ IP Rota Ekle DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d UTK, UTK, ETHER2 Check-Gateway \u003d Ping

Şimdi, birinci sağlayıcı aracılığıyla, ikincisinden iki kat daha fazla akış olacak.

Ancak görevlerimiz biraz daha zor, çünkü sağlayıcılar sadece nicel olarak değil, aynı zamanda niteliksel olarak.
11. Bu nedenle, onları ayrı ayrı rotaları atayacağız ve farklı tercihler (mesafe) vereceğiz.
İlk sağlayıcı için bunu yapmak en kolay olanıdır:

/ Arayüz PPPOE-Client Set 0 Eklenti - Varsayılan Rota \u003d YES

S.9.1'de yapabilmemize rağmen, ama sipariş için tahsis etmeye karar verdim.
İkinci sağlayıcı için - yani:

/ IP Rota Ekle DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d 80.45.21.34 Mesafe \u003d 2 Check-Gateway \u003d Ping

Şimdi tüm ağımız sağlayıcı 1'den geçer ve eğer düşerse - sağlayıcı 2.

12. Sağlayıcı 2 üzerinden ağa gönderilmesi gereken önemli akışları (Skype, SIP) seçiyoruz.

Burada, bu konu oldukça meraklı olduğundan, paketlerin ve bağlantıların etiketlenmesine (işaret) adanmış bir geri çekilme yapacağım.

Geri çekilme 4.
İşaretleme

Kullanılmış
bazı paketler için etiketleri ayarlamak için. Bu eylem belki
sadece mange masasında gerçekleştirildi. Etiketleri genellikle yükleme
İçin çeşitli yollarda rutin paketlere
trafik kısıtlamaları vb. İçin daha fazla bilgi için
linux Gelişmiş Yönlendirme ve Trafik Kontrolü Nasıl Yapılır. Değil
"Etiket" paketinin sadece zaman periyodunda olduğunu unutmayın
paket güvenlik duvarı bırakmadı, yani. Etiket ağ üzerinden iletilmez. Eğer bir
bir şekilde işaretleri kullanmak için paketleri işaretlemek gerekir.
başka bir makine, TOS alanının bitlerini manipüle etmeye çalışabilirsiniz.

Manuel: Mikrotik Wiki'de IP / Firewall / Mangle.

İçin
okuma ve yazma kuralları, neyi net bir şekilde anlamak için önemlidir.
akıştan bir paket tahsis ettiğiniz bir işaret ve nerede
bir paket üretiyoruz (kabul edildi, atma veya damga
bir işaret).
PCC hakkındaki makaleden iki kural düşünün:
/ İp güvenlik duvarı mangle

ekle.

in-Interface \u003d Ether2 Yeni bağlantısı-Mark \u003d L2TP-OUT1_CONN PASSTHROUGH \u003d YES
bağlantı başına sınıflandırıcı \u003d SRC-Adres: 2/0 SRC-Address \u003d 172.16.0.0 / 16
ekle.
action \u003d Mark-Connection Chain \u003d PREROUTING DST-Address-Type \u003d! Yerel
in-Interface \u003d Ether2 Yeni bağlantısı-Mark \u003d L2TP-OUT2_CONN PASSTHROUGH \u003d YES
bağlantı başına sınıflandırıcı \u003d SRC-Adres: 2/1 SRC-Address \u003d 172.16.0.0 / 16

ekle.
action \u003d Mark Yönlendirme Zinciri \u003d Önerme Bağlantısı-Mark \u003d L2TP-OUT1_CONN
in-Interface \u003d Ether2 Yeni yönlendirmesi-Mark \u003d TO_L2TP-OUT1 PASSTHROUGH \u003d YES
ekle.
action \u003d Mark yönlendirme zinciri \u003d ön araştırma bağlantısı-Mark \u003d L2TP-OUT2_CONN
in-Interface \u003d ETHER2 YENİ yönlendirmesi-Mark \u003d TO_L2TP-OUT2 PASSTHROUGH \u003d YES

İlk kuralda biz bağlantıyı işaret ediyoruz (Eylem \u003d bağlantı bağlantısı) ön kısım zincirinde. Sonraki takip İşaretler,
bileşiği tanımladığımız, etiketlenmesi nedeniyle: Görünüm
hedef adresleri - Yönlendiricinin kendisinin adresi hariç herkes
(DST-Address-Type \u003d! Yerel), Gelen Arabirim - Ether2
(Interface \u003d Ether2), Kaynak Adres - Alt ağdan herhangi bir bilgisayar
172.16.0.0/16. Sonraki harika bir takımı takip ediyor:
bağlantı başına sınıflandırıcı \u003d SRC-Adres: 2/0. Bu yüzden akışı parçala
bu özelliklere karşılık gelen paketler.
Bundan sonra, akışın bir kısmı L2TP-OUT1_CONN etiketini ve İkinci L2TP-Out2_conn'u atayın.
Passthrough
"Geçiş" olarak çevrildi. Aslında, her paket sırayla
İlk tesadüf öncesi her kurala uygunluk için kontrol edildi. Nasıl
sadece çakıştırılmış - hemen aşağıdaki tabloya iletilir (bu
dava DNAT'dur) veya bırakma eylemi ise yok edilir. Ancak belirtilirse
pASSTHROUGH \u003d Evet, paket aynı kuralın listesine iletilir.
masa.

Bir sonraki kural, tercih edilen hakkında bir işaret koyarız.
daha fazla takip etme yolları (eylem \u003d işaret yönlendirmesi). Tüm bağlantılar
İşaretli L2TP-Out1_Conn (Bağlantı işareti) Marka etiketine ek olarak
tO_L2TP-OUT1 (yeni yönlendirme işareti). Ve sonra akışın ikinci yarısı ile
sırasıyla yapıyoruz.

Bu sıralı markalamanın derin anlamı nedir ve neden yeni yönlendirme işaretini kurmanın imkansız olduğu, henüz anlaşılmadım. Ancak mikrotik Wiki'deki resmi rehber de yapılır.
Birisi açıklayabilir mi?

Genel olarak, çözmek için zarar vermeyeceği benzer bir isimde üç eylem vardır:

• İşaret bağlantısı.


• İşaret paketi.


• İşaret yönlendirmesi

Basit ile başlayalım.

İşaret yönlendirmesi
- Bir pakette yeni rota işareti parametresi tarafından belirtilen bir işaret yerleştirin.
Bu tür işaretler sadece politika yönlendirme amacıyla verilir

Bu işlem, daha fazla iletme yolunu seçerken yalnızca kullanılan bir etiket koyar. Örneğin:

/ IP rotası.
dST Ekle \u003d 0.0.0.0 0 Ağ Geçidi \u003d 10.111.0.1 Yönlendirme-Mark \u003d to_isp1 Check-Gateway \u003d Ping
dST-Address \u003d 0.0.0.0 0 Ağ Geçidi \u003d 10.112.0.1 Yönlendirme-Mark \u003d to_isp2 Check-Gateway \u003d Ping

Ancak yollardan birinin bozulması durumunda, ek olarak yapılmalıdır. genel kurallar Etiketlere bağlanmadan:

dST-Address \u003d 0.0.0.0.0 / 0 Ağ Geçidi \u003d 10.111.0.1 mesafesi \u003d 1 Check-Gateway \u003d Ping
dST-Address \u003d 0.0.0.0 0 Ağ Geçidi \u003d 10.112.0.1 Mesafe \u003d 2 Check-Gateway \u003d Ping

Ancak Mark-Packet, işaret bağlantısından nasıl farklılık gösterir?
Açıkçası, paketin bağlantıdan farklı olduğu ile aynı.
Biz okuyoruz:

İşaretleme.
her paket özellikle kuralın eşleşmesi gerekiyorsa oldukça kaynaktır
iP başlıkından veya içeren adres listesinden birçok parametreye karşı
yüzlerce giriş.

Marka Her paket çok pahalı
zevk, özellikle kural için birçok işaret içeriyorsa
iP paketinin başlığından veya yüzlerce içeren adres sayfasından karşılaştırmalar
kayıtlar.
Ayrıca yönlendiricilerin iflasına atıfta bulunmak,
100 megabit içinde her bir paketi kontrol etmek için karmaşık kurallarla yüklendi
ağlar. İşlemcinin üzerindeki hesaplama yükü hızla büyüyor
aslında, bu işaretleme yöntemini kullanmanın imkansızlığına yol açar.
büyük veri akışlarını kontrol ederken.

Alıntı:

Neyse ki bağlantı izleme etkinse, kurulumumuzu optimize etmek için bağlantı işaretlerini kullanabiliriz.

Neyse ki, eğer bağlantı izleme etkinse, bu kadar iyi olan bağlantılarla paylaşabiliriz!
Buraya
görüntü ile çalışmanın avantajıdır yüksek seviye. Daha yüksek
genelleme seviyesi, harcamanız gereken daha az emek
hedefine ulaş!

/ İp güvenlik duvarı mangle
Zincir ekle \u003d ileri protokol \u003d TCP portu \u003d! 80 DST-Address-List \u003d First Connection-State \u003d Yeni Eylem \u003d Mark-Connection \\
yeni bağlantı-işareti \u003d ilk
Zincir ekle \u003d ileri bağlantı-Mark \u003d İlk eylem \u003d Mark-Packet New-Packet-Mark \u003d First Passthrough \u003d Hayır

Zincir ekle \u003d ileri protokol \u003d UDP DST-adres listesi \u003d İkinci bağlantı-durum \u003d yeni eylem \u003d işaret bağlantısı \\
yeni bağlantı-işareti \u003d ikinci
Zincir ekle \u003d ileri bağlantı-işareti \u003d İkinci eylem \u003d Mark-Packet New-Packet-Mark \u003d İkinci Passthrough \u003d Hayır

Alıntı:

Şimdi
İlk kural, yalnızca IP başlığından gelen verileri yalnızca ilk paketten eşleştirmeye çalışacaktır.
yeni bağlantı ve bağlantı işareti ekleyin. Sonraki kural artık olmayacak
her paket için IP başlığını kontrol edin, sadece bağlantı işaretlerini karşılaştırır
daha düşük CPU tüketimine neden olur. Ek olarak passthroough \u003d hayır
cPU tüketimini daha da azaltmaya yardımcı olan eklendi.

Lojistik, ilk kural, yalnızca yeni bağlantının ilk paketinin başlığında verileri kontrol eder, bu bağlamda diğerlerinin buna uyacağına inanıyor. Aşağıdaki kural, her bir paketin başlığını kontrol etmek yerine, yalnızca CPU üzerindeki yükü önemli ölçüde azaltan bağlantı etiketine bakar. Ek olarak, "PASSTHROUGH \u003d NO" kuralı derhal bu tablodaki paketlerin geçişini kesintiye uğratır, bu da CPU'yu boşaltır!

OO ... Cunning resepsiyonu! Şimdi PCC örneğinde neden önce bağlantıyı çektik ve ardından bu etikete dayanarak ikinci - yönlendirme ile ilgili olarak.
Ancak sorular ortaya çıkıyor.
İlk: Paketin başlığına bakmadan bir tür bağlantıya ait olduğunu nasıl anlayabilirim? Açıkçası - YOK YOK. Her durumda her bir paketin ayrı ayrı işlenmesi anlamına gelir, ancak IPtables dışında gerçekleşir ve özel bir yüke neden olmaz İşlemciİPTBabler içindeki kurallar listesinde işlemenin aksine.

Ve ikinci soru: Bağlantıyı nasıl işaret edebilirim?
Paketle her şey nispeten açıksa: Değişiklik yaptığımız bir başlığa sahiptir, en azından bir şekilde çalışabildiğimiz "Bileşik" kavramının gerçek ifadesi nedir? Ne işaret ediyoruz?