នៅលើវេទិកាចែកចាយ អ្នកប្រើប្រាស់ក្រោមឈ្មោះហៅក្រៅ បាវីណុកបានចាប់ផ្តើមសរសេរ
ស៊េរីនៃអត្ថបទដែលព្យាយាមបង្រួបបង្រួម និងរៀបចំប្រព័ន្ធមូលដ្ឋានទិន្នន័យបង្គរ
ចំណេះដឹងអំពី Mikrotik ជាទូទៅ និងលើប្រធានបទរបស់អ្នកផ្តល់សេវាពីរជាពិសេស។ ជាមួយគាត់
ដោយមានការអនុញ្ញាត ខ្ញុំនឹងចម្លងអ្វីៗគ្រប់យ៉ាងមកទំព័ររបស់ខ្ញុំ។ អ្នកដែលចាប់អារម្មណ៍អាចចូលទៅបាន។
ទៅកាន់ប្រភពដើម http://mikrotik.ru/forum/viewtopic.php?f=1 5&t=3280
ដំឡើងរ៉ោតទ័រពីដំបូង។
ផ្នែកនេះនឹងបង្កើតសម្រាប់ភាពទន់ខ្សោយនៃផ្នែកដែលបានអនុវត្ត។
យោងតាមចំណងជើងនៃប្រធានបទ ខ្ញុំកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រសម្រាប់អ្នកផ្តល់សេវាពីរយ៉ាងពិតប្រាកដ។ ខ្ញុំមានន័យថាម៉ូដែលរ៉ោតទ័រគឺស៊េរី RB7xx ។
ប្រភព៖
ពិនិត្យ និងកំណត់រចនាសម្ព័ន្ធ Mikrotik RB751U-2HnD នៅក្នុងរបៀបរ៉ោតទ័រឥតខ្សែជាមួយនឹងការភ្ជាប់អ៊ីនធឺណិត។
Sergey Lagovsky: MikroTik - ការដំឡើងដំបូង
ប្រភព
ត្រូវតែអាន។ ខ្ញុំនឹងមិនសរសេរសៀវភៅណែនាំសម្រាប់ Mikrotik ទេ។
ស្ត្រីមេផ្ទះ” ដូចជា “យកខ្សែនៅដៃស្តាំរបស់អ្នក…” នៅទីនេះខ្ញុំនឹងបង្ហាញ
ជំហាន, ជំហាន។ និងរបៀបធ្វើវាឱ្យពិតប្រាកដ - នៅក្នុងខាងលើ
ប្រភព។
ខ្ញុំប្រើ បន្ទាត់ពាក្យបញ្ជាស្ថានីយតាមរយៈ Winbox ហើយខ្ញុំនឹងផ្តល់ឧទាហរណ៍ទាំងអស់ក្នុងទម្រង់នេះ។
1. កំណត់ការកំណត់ដំបូងឡើងវិញ៖
/ ការកំណត់រចនាសម្ព័ន្ធឡើងវិញ
2. ទាញយកកញ្ចប់ Upgrade ហើយអូសវាចូលទៅក្នុង Winbox ដោយប្រើកណ្ដុរ។ បន្ទាប់៖
/ ចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ
ហើយបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ :
/ ការធ្វើឱ្យប្រសើររ៉ោតទ័រប្រព័ន្ធ
3. ខ្ញុំបង្កើតស្ពានពីច្រកបីចុងក្រោយ៖
/ ស្ពានចំណុចប្រទាក់
add name=Local_Net
បន្ថែមស្ពាន=ចំណុចប្រទាក់ Local_Net=ether3
បន្ថែមស្ពាន=ចំណុចប្រទាក់ Local_Net=ether4
បន្ថែមស្ពាន = ចំណុចប្រទាក់ Local_Net = ether5
4. ខ្ញុំផ្តល់អាសយដ្ឋាន IP ទៅស្ពាននេះ៖
/ip address បន្ថែមអាសយដ្ឋាន=192.168.1.1/24 interface=Local_Net
5. ដំឡើងម៉ាស៊ីនមេ DHCP នៅលើវា៖
ការដំឡើង / ip dhcp-server
អនុញ្ញាតឱ្យវាផ្តល់អាសយដ្ឋានរបស់ Mikrotik ខ្លួនវាជាម៉ាស៊ីនមេ DNS: 192.168.1.1 ។ ខ្ញុំនឹងពន្យល់ពីមូលហេតុនេះបន្តិចក្រោយមក។
6. អនុញ្ញាតឱ្យរ៉ោតទ័រឆ្លើយតបទៅនឹងសំណើ DNS៖
/ip dns កំណត់អនុញ្ញាត-remote-requests=បាទ
តោះដកដង្ហើមធំ៖ ឥឡូវនេះយើងបានសម្រេចមុខងារ D-Link ចេញពីប្រអប់ហើយ :)
7. តាមដំបូន្មានរបស់ Sergei Lagovsky ខ្ញុំតែងតែប្តូរឈ្មោះអ្នកប្រើប្រាស់៖
/user add name=supername password=superpass group=full
/ ចាកចេញ
ចូលជាអ្នកប្រើប្រាស់ថ្មី ហើយបិទកម្មវិធីចាស់៖
/ អ្នកប្រើប្រាស់បិទការគ្រប់គ្រង
8. កំណត់ម៉ាស៊ីនមេពេលវេលា និងតំបន់ពេលវេលា៖
/system ntp client set enabled=yes mode=unicast primary-ntp=83.229.137.52 secondary-ntp=213.141.146.135
/system clock set time-zone-name=អឺរ៉ុប/មូស្គូ
9. រៀបចំការភ្ជាប់អ៊ីនធឺណិត។
ខ្ញុំនឹងលើកយកករណីពិបាករបស់អ្នកផ្តល់សេវាមិនស្មើគ្នាពីរ៖
- ទីមួយ
អ្នកផ្តល់សេវាផ្តល់អ៊ីនធឺណិតតាមរយៈ PPPoE លើ ADSL: 8 Mbit incoming/0.8 Mbit
ចេញ។ អាសយដ្ឋាន IP និងការកំណត់បណ្តាញផ្សេងទៀតត្រូវបានចេញដោយអ្នកផ្តល់សេវា
ថាមវន្ត។ - ទីពីរគឺមានគុណភាពខ្ពស់ណាស់ប៉ុន្តែមានតម្លៃថ្លៃទាក់ទងនឹងអុបទិក: ឆានែលស៊ីមេទ្រីនៃ 1 Mbit ។ អាសយដ្ឋាន IP និងការកំណត់គឺឋិតិវន្ត (អចិន្ត្រៃយ៍)
៩.១. ការដំឡើងអ្នកផ្តល់សេវាដំបូង។
យើងប្តូរម៉ូដឹម ADSL របស់យើងទៅជារបៀបស្ពាន។ យើងដោតខ្សែចូលទៅក្នុងច្រកទីមួយ (ether1) ។
បង្កើត និងកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ PPPoE៖
/interface pppoe-client add name=UTK user=ppp_user password=ppp_pasw use-peer-dns=yes interface=ether1
ប្រសិនបើមានអ្នកផ្តល់សេវាតែមួយ យើងអាចបន្ថែម " add-default-route=បាទ/ចាស«ប៉ុន្តែយើងមានភារកិច្ចផ្សេងគ្នា។
"ប្រើ-peer-dns" មានន័យថាយើងនឹងប្រើម៉ាស៊ីនមេ DNS ដែលផ្តល់ដោយ ISP សម្រាប់ការតភ្ជាប់នេះ។
/ បោះពុម្ពអាសយដ្ឋាន ip
/ping mail.ru
ដើម្បីប្រាកដថាការតភ្ជាប់ដំណើរការ។
៩.២. ការដំឡើងអ្នកផ្តល់សេវាទីពីរ។
យើងដោតខ្សែពីឧបករណ៍បំលែងមេឌៀទៅក្នុងច្រកទីពីរ ហើយបញ្ចូលការកំណត់ដោយដៃ៖
/ip address បន្ថែមអាសយដ្ឋាន=80.45.21.34/30 interface=ether2
ប្រសិនបើអ្នកផ្តល់សេវារបស់អ្នកផ្តល់ម៉ាស៊ីនមេ DNS ផ្ទាល់ខ្លួនរបស់អ្នក អ្នកអាចកំណត់ពួកវាយ៉ាងច្បាស់៖
/ip dns set servers=ip_server1,ip_server2
ហើយយើងអាចកំណត់អ្វីដែលមានជាសាធារណៈដូចជា Google ដែរ៖ 8.8.8.8,8.8.4.4។
អនុញ្ញាតឱ្យខ្ញុំរំលឹកអ្នក,
សូមអរគុណដល់ជំហានទី 6 រ៉ោតទ័ររបស់យើងគឺជាម៉ាស៊ីនមេ DNS សម្រាប់មូលដ្ឋាន
បណ្តាញ។ ប៉ុន្តែខ្លួនគាត់ដូចជាកំភួនជើងដ៏ទន់ភ្លន់ បឺតស្រូបម្ចាស់ក្សត្រីពីរនាក់តាមអំពើចិត្ត
ដោយចូលទៅកាន់ម៉ាស៊ីនមេ DNS របស់អ្នកផ្តល់សេវាណាមួយ។
10. បើកការបកប្រែអាសយដ្ឋាន។
សម្រាប់អ្នកផ្តល់សេវា 1:
/ip firewall nat បន្ថែមសង្វាក់=srcnat action=masquerade protocol=tcp out-interface=UTK
អ្នកអាចធ្វើដូចគ្នាសម្រាប់ទីពីរប៉ុន្តែយើងនឹងសោភ័ណភាព។ ដោយសារអាសយដ្ឋានរបស់យើងជាអចិន្ត្រៃយ៍ យើងប្រើ SNAT ជាជាងការក្លែងបន្លំ៖
/ip firewall nat បន្ថែម chain=srcnat action=src-nat protocol=tcp src-address=192.168.1.0/24 to-addresses=80.45.21.34
ប្រសិនបើអ្នកផ្តល់សេវារបស់យើងមានតម្លៃស្មើ យើងអាចធ្វើដូចនេះបាន៖
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=UTK,ether2 check-gateway=ping
យើងទទួលបានភាពអត់ឱនកំហុសភ្លាមៗ និងការចែកចាយបន្ទុកឯកសណ្ឋាន (ផ្លូវស្មើគ្នា)។
ខ្ញុំណែនាំអ្នកឱ្យសាកល្បងវា ហើយលេងជាមួយកុំព្យូទ័រក្នុងស្រុក
"tracert mail.ru", បិទដំណើរការមួយឬផ្សេងទៀត។ ចុងខាងមុខ -
គ្រាន់តែដើម្បីពិនិត្យមើល។
ប្រសិនបើអ្នកផ្តល់សេវាមិនស្មើគ្នាត្រឹមតែកម្រាស់ឆានែល អ្នកអាចធ្វើដូចនេះបាន៖
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=UTK,UTK,ether2 check-gateway=ping
ឥឡូវនេះអ្នកផ្តល់សេវាទីមួយនឹងទទួលបានការផ្សាយពីរដងច្រើនជាងអ្នកទីពីរ។
ប៉ុន្តែកិច្ចការរបស់យើងមានភាពស្មុគស្មាញបន្តិច ដោយសារអ្នកផ្តល់សេវាមិនស្មើគ្នាមិនត្រឹមតែបរិមាណប៉ុណ្ណោះទេ ថែមទាំង ប្រកបដោយគុណភាព.
11. ដូច្នេះហើយ យើងនឹងបែងចែកផ្លូវឱ្យពួកគេដោយឡែកពីគ្នា ហើយផ្តល់ឱ្យពួកគេនូវចំណូលចិត្តខុសៗគ្នា (ចម្ងាយ)។
សម្រាប់អ្នកផ្តល់សេវាដំបូង វិធីងាយស្រួលបំផុតគឺធ្វើដូចនេះ៖
/interface pppoe-client កំណត់ 0 add-default-route=yes
ទោះបីជាយើងអាចធ្វើវាបាននៅក្នុងកថាខណ្ឌ 9.1 ក៏ដោយ ខ្ញុំបានសម្រេចចិត្តគូសវាសសម្រាប់ជាប្រយោជន៍នៃលំដាប់។
សម្រាប់អ្នកផ្តល់សេវាទីពីរ - ដូចនេះ៖
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=80.45.21.34 distance=2 check-gateway=ping
ឥឡូវនេះបណ្តាញទាំងមូលរបស់យើងឆ្លងកាត់អ្នកផ្តល់សេវា 1 ហើយប្រសិនបើវាធ្លាក់ចុះតាមរយៈអ្នកផ្តល់សេវា 2 ។
12. សូមរំលេចការផ្សាយសំខាន់ៗ (Skype, SIP) ដែលត្រូវផ្ញើទៅកាន់បណ្តាញតាមរយៈអ្នកផ្តល់សេវា 2.
នៅទីនេះខ្ញុំនឹងធ្វើការបកស្រាយលើការសម្គាល់កញ្ចប់ព័ត៌មាន និងការតភ្ជាប់ ដោយសារប្រធានបទនេះគួរឱ្យចាប់អារម្មណ៍ណាស់។
ដកថយ ៤
ការសម្គាល់
ប្រើ
ដើម្បីកំណត់ស្លាកសម្រាប់កញ្ចប់ជាក់លាក់។ សកម្មភាពនេះអាច
ត្រូវបានប្រតិបត្តិតែនៅក្នុងតារាង mangle ប៉ុណ្ណោះ។ កំណត់សញ្ញាសម្គាល់ជាធម្មតា
ប្រើសម្រាប់តម្រូវការនៃការបញ្ជូនកញ្ចប់ព័ត៌មានតាមផ្លូវផ្សេងៗ សម្រាប់
ការរឹតបន្តឹងចរាចរណ៍។ល។ សម្រាប់ព័ត៌មានបន្ថែម អ្នកអាចធ្វើបាន
យោងទៅលើ Linux Advanced Routing and Traffic Control HOW-TO។ ទេ។
សូមចាំថា "ស្លាក" របស់កញ្ចប់ព័ត៌មានមានសម្រាប់តែអំឡុងពេលនោះ។
កញ្ចប់ព័ត៌មានមិនបានចាកចេញពីជញ្ជាំងភ្លើងទេ i.e. ស្លាកមិនត្រូវបានបញ្ជូនតាមបណ្តាញទេ។ ប្រសិនបើ
កញ្ចប់ត្រូវតែត្រូវបានសម្គាល់ដូចម្ដេច ដើម្បីប្រើការសម្គាល់នៅលើ
ម៉ាស៊ីនមួយផ្សេងទៀត អ្នកអាចព្យាយាមរៀបចំប៊ីតនៃវាល TOS ។
សៀវភៅណែនាំ៖ IP/Firewall/Mangle នៅលើ Mikrotik Wiki ។
នៅ
ពេលអាន និងសរសេរច្បាប់ ត្រូវតែយល់ច្បាស់ថាយើងនៅទីណា
យើងបង្ហាញសញ្ញាដែលយើងជ្រើសរើសកញ្ចប់ព័ត៌មានពីស្ទ្រីម និងកន្លែងណា
យើងអនុវត្តសកម្មភាពជាមួយកញ្ចប់ (ទទួលយក បដិសេធ ឬដាក់ស្លាកសញ្ញាវាដូចនោះ)
សញ្ញា) ។
ពិចារណាច្បាប់ពីរពីអត្ថបទ PCC៖
/ ip firewall mangle
បន្ថែម
in-interface=ether2 new-connection-mark=l2tp-out1_conn passthrough=បាទ
per-connection-classifier=src-address:2/0 src-address=172.16.0.0/16
បន្ថែម
action=mark-connection chain=prorouting dst-address-type=!local
in-interface=ether2 new-connection-mark=l2tp-out2_conn passthrough=បាទ/ចាស
per-connection-classifier=src-address:2/1 src-address=172.16.0.0/16
បន្ថែម
action=mark-routing chain=prorouting connection-mark=l2tp-out1_conn
in-interface=ether2 new-routing-mark=to_l2tp-out1 passthrough=បាទ
បន្ថែម
action=mark-routing chain=prorouting connection-mark=l2tp-out2_conn
in-interface=ether2 new-routing-mark=to_l2tp-out2 passthrough=បាទ
នៅក្នុងច្បាប់ដំបូងយើង សម្គាល់ការតភ្ជាប់(action=mark-connection) នៅក្នុងខ្សែសង្វាក់ការពារ។ ធ្វើតាម សញ្ញា,
ដែលយើងកំណត់ការតភ្ជាប់ដែលគួរតែត្រូវបានដាក់ស្លាក: ប្រភេទ
អាសយដ្ឋានគោលដៅ - ណាមួយលើកលែងតែអាសយដ្ឋានរបស់រ៉ោតទ័រខ្លួនឯង
(dst-address-type=!local), ចំណុចប្រទាក់ចូល - ether2
(in-interface=ether2), អាសយដ្ឋានប្រភព - កុំព្យូទ័រណាមួយពីបណ្តាញរង
១៧២.១៦.០.០/១៦. ខាងក្រោមនេះគឺជាពាក្យបញ្ជាដ៏អស្ចារ្យ៖
per-connection-classifier=src-address:2/0។ នេះជារបៀបដែលយើងបំបែកលំហូរ
កញ្ចប់ដែលត្រូវគ្នានឹងលក្ខណៈទាំងនេះត្រូវបានបែងចែកជាពីរ។
បន្ទាប់មកយើងកំណត់ស្លាក l2tp-out1_conn ទៅផ្នែកមួយនៃស្ទ្រីម ហើយ l2tp-out2_conn ទៅផ្នែកទីពីរ។
ឆ្លងកាត់
បកប្រែថា "ឆ្លងកាត់" ។ តាមពិត កញ្ចប់នីមួយៗមានលំដាប់លំដោយ
ត្រូវបានត្រួតពិនិត្យប្រឆាំងនឹងច្បាប់នីមួយៗ រហូតដល់ការប្រកួតដំបូងកើតឡើង។ របៀប
គ្រាន់តែស្របគ្នា - វាត្រូវបានផ្ទេរភ្លាមៗទៅតារាងបន្ទាប់ (នៅក្នុងនេះ។
ករណី - DNAT) ឬត្រូវបានបំផ្លាញប្រសិនបើសកម្មភាពគឺ DROP ។ ប៉ុន្តែប្រសិនបើបានបញ្ជាក់
passthrough=បាទ កញ្ចប់ព័ត៌មានត្រូវបានបញ្ជូនទៅច្បាប់បន្ទាប់ក្នុងបញ្ជីដូចគ្នា។
តុ។
ច្បាប់បន្ទាប់គឺសម្គាល់ការពេញចិត្ត
ផ្លូវដែលត្រូវដើរតាម (action=mark-routing)។ ការតភ្ជាប់ទាំងអស់។
បានសម្គាល់ l2tp-out1_conn (connection-mark) យើងក៏ដាក់សញ្ញាសម្គាល់ផងដែរ។
to_l2tp-out1 (new-routing-mark) ។ ហើយបន្ទាប់មកជាមួយនឹងពាក់កណ្តាលទីពីរនៃលំហូរ
យើងធ្វើតាម។
ខ្ញុំមិនទាន់យល់ពីអត្ថន័យដ៏ជ្រាលជ្រៅនៃការសម្គាល់តាមលំដាប់លំដោយនេះនៅឡើយទេ ហើយហេតុអ្វីបានជាអ្នកមិនអាចដាក់សញ្ញាកំណត់ផ្លូវថ្មីបានភ្លាមៗនោះទេ។ ប៉ុន្តែសៀវភៅណែនាំផ្លូវការនៅលើ Mikrotik Wiki ក៏ធ្វើដូចគ្នាដែរ។
តើមាននរណាម្នាក់អាចពន្យល់បានទេ?
ជាទូទៅ មានសកម្មភាពបីដែលមានឈ្មោះស្រដៀងគ្នា ដែលគួរយល់ដឹង៖
- ការតភ្ជាប់សញ្ញា
- mark-packet
- ការសម្គាល់ផ្លូវ
ការសម្គាល់ផ្លូវ
- ដាក់សញ្ញាសម្គាល់ដោយប៉ារ៉ាម៉ែត្រកំណត់ផ្លូវថ្មីនៅលើកញ្ចប់ព័ត៌មាន។
សញ្ញាប្រភេទនេះត្រូវបានប្រើសម្រាប់គោលបំណងកំណត់ទិសដៅគោលនយោបាយតែប៉ុណ្ណោះ
សកម្មភាពនេះដាក់សញ្ញាសម្គាល់ដែលត្រូវបានប្រើទាំងស្រុងនៅពេលជ្រើសរើសផ្លូវសម្រាប់ការបញ្ជូនបន្ត។ ឧទាហរណ៍៖
/ ផ្លូវ ip
បន្ថែម dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
បន្ថែម dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping
ប៉ុន្តែក្នុងករណីផ្លូវមួយដាច់ អ្នកក៏គួរធ្វើដែរ។ ច្បាប់ទូទៅដោយមិនយោងទៅលើស្លាក៖
បន្ថែម dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
បន្ថែម dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping
ប៉ុន្តែតើអ្វីជាភាពខុសគ្នារវាង mark-packet និង mark-connection?
ជាក់ស្តែង រឿងដូចគ្នាដែលបែងចែកកញ្ចប់ព័ត៌មានពីការតភ្ជាប់។
យើងអាន៖
ការសម្គាល់
កញ្ចប់នីមួយៗមានតម្លៃថ្លៃណាស់ ជាពិសេសប្រសិនបើច្បាប់ត្រូវតែផ្គូផ្គង
ប្រឆាំងនឹងប៉ារ៉ាម៉ែត្រជាច្រើនពីបឋមកថា IP ឬបញ្ជីអាសយដ្ឋានដែលមាន
ធាតុរាប់រយ
ការដាក់ស្លាកយីហោកញ្ចប់នីមួយៗមានតម្លៃថ្លៃណាស់។
រីករាយ ជាពិសេសប្រសិនបើច្បាប់មានសញ្ញាជាច្រើនសម្រាប់
ការប្រៀបធៀបពីបឋមកថានៃកញ្ចប់ព័ត៌មាន IP ឬសន្លឹកអាសយដ្ឋានដែលមានរាប់រយ
កំណត់ត្រា។
វាបន្តនិយាយអំពីការងារ backbreaking នៃ routers,
បន្ទុក ច្បាប់ស្មុគស្មាញពិនិត្យកញ្ចប់នីមួយៗក្នុង 100-megabit
បណ្តាញ។ បន្ទុកគណនានៅលើខួរក្បាលកំពុងកើនឡើងយ៉ាងឆាប់រហ័ស
សំខាន់ធ្វើឱ្យវាមិនអាចប្រើវិធីសាស្រ្តសម្គាល់នេះ។
នៅពេលគ្រប់គ្រងលំហូរទិន្នន័យធំ។
សម្រង់៖
ជាសំណាងល្អ ប្រសិនបើការតាមដានការតភ្ជាប់ត្រូវបានបើក យើងអាចប្រើសញ្ញាតភ្ជាប់ ដើម្បីបង្កើនប្រសិទ្ធភាពការដំឡើងរបស់យើង។
សំណាងល្អ ប្រសិនបើការតាមដានការតភ្ជាប់ត្រូវបានបើក យើងអាចដាក់ទង់ការតភ្ជាប់បាន ដែលកាន់តែល្អ!
នៅទីនេះ
វាគឺជាអត្ថប្រយោជន៍នៃការធ្វើការជាមួយរូបភាពកម្រិតខ្ពស់។ ខ្ពស់ជាង
កម្រិតនៃការធ្វើទូទៅ ការងារតិចដែលអ្នកត្រូវចំណាយ
សម្រេចគោលដៅ!
/ ip firewall mangle
បន្ថែមខ្សែសង្វាក់ = ពិធីការទៅមុខ = ច្រក tcp = !80 dst-address-list = ការតភ្ជាប់ដំបូង - ស្ថានភាព = សកម្មភាពថ្មី = ការតភ្ជាប់សម្គាល់ \\
new-connection-mark=ដំបូង
បន្ថែមខ្សែសង្វាក់ = ឆ្ពោះទៅមុខការតភ្ជាប់ - សម្គាល់ = សកម្មភាពដំបូង = ម៉ាក - កញ្ចប់ព័ត៌មានថ្មី - កញ្ចប់ - សម្គាល់ = ឆ្លងកាត់ដំបូង = ទេ
បន្ថែមខ្សែសង្វាក់ = ពិធីការឆ្ពោះទៅមុខ = udp dst-address-list = ទីពីរការតភ្ជាប់ - ស្ថានភាព = សកម្មភាពថ្មី = ការតភ្ជាប់សម្គាល់ \\
new-connection-mark=វិនាទី
បន្ថែមខ្សែសង្វាក់ = ការតភ្ជាប់ឆ្ពោះទៅមុខ - សម្គាល់ = សកម្មភាពទីពីរ = ម៉ាក - កញ្ចប់ព័ត៌មានថ្មី - កញ្ចប់ - សម្គាល់ = វិនាទីឆ្លងកាត់ = ទេ
សម្រង់៖
ឥឡូវនេះ
ច្បាប់ទីមួយនឹងព្យាយាមផ្គូផ្គងទិន្នន័យពីបឋមកថា IP តែពីកញ្ចប់ដំបូងប៉ុណ្ណោះ។
នៃការតភ្ជាប់ថ្មី និងបន្ថែមសញ្ញាតភ្ជាប់។ ច្បាប់បន្ទាប់នឹងលែងមានទៀតហើយ
ពិនិត្យបឋមកថា IP សម្រាប់គ្នា។កញ្ចប់ វានឹងគ្រាន់តែប្រៀបធៀបសញ្ញាតភ្ជាប់
ជាលទ្ធផលការប្រើប្រាស់ស៊ីភីយូទាប។ លើសពីនេះ passthrough = គ្មាន
បានបន្ថែមថាជួយកាត់បន្ថយការប្រើប្រាស់ស៊ីភីយូកាន់តែច្រើន។
សំខាន់ ច្បាប់ទីមួយពិនិត្យទិន្នន័យតែនៅក្នុងបឋមកថានៃកញ្ចប់ព័ត៌មានដំបូងនៃការតភ្ជាប់ថ្មី ដោយពិចារណាថានៅក្នុងការតភ្ជាប់នេះ អ្នកផ្សេងទៀតទាំងអស់នឹងស្របគ្នាជាមួយវា។ ច្បាប់បន្ទាប់ជំនួសឱ្យការពិនិត្យមើលបឋមកថានៃកញ្ចប់ព័ត៌មាននីមួយៗ វាមើលទៅលើស្លាកការតភ្ជាប់ប៉ុណ្ណោះ ដែលកាត់បន្ថយការផ្ទុកស៊ីភីយូយ៉ាងច្រើន។ លើសពីនេះ ច្បាប់ “passthrough=no” រំខានដល់ការឆ្លងកាត់កញ្ចប់ព័ត៌មានភ្លាមៗតាមរយៈតារាងនេះ ហើយផ្ទេរពួកវាទៅលេខបន្ទាប់ ដែលជួយសម្រួលដល់ CPU ផងដែរ!
អូយ...ល្បិច! ឥឡូវនេះវាច្បាស់ហើយថាហេតុអ្វីបានជានៅក្នុងឧទាហរណ៍ជាមួយ PCC យើងបានសម្គាល់ការតភ្ជាប់ដំបូង ហើយបន្ទាប់មកដោយផ្អែកលើសញ្ញានេះ យើងដាក់ទីពីរ - អំពីការកំណត់ផ្លូវ។
ប៉ុន្តែសំណួរកើតឡើង។
ទីមួយ៖ តើអ្នកអាចយល់ថាកញ្ចប់ព័ត៌មានជាកម្មសិទ្ធិរបស់ការតភ្ជាប់ជាក់លាក់ដោយមិនមើលពីបឋមកថារបស់វាដោយរបៀបណា? ជាក់ស្តែង - គ្មានផ្លូវទេ។ នេះមានន័យថាកញ្ចប់ព័ត៌មាននីមួយៗត្រូវបានដំណើរការដោយឡែកពីគ្នាក្នុងករណីណាក៏ដោយ ប៉ុន្តែវាកើតឡើងនៅខាងក្រៅ IPTables ហើយវាមិនបណ្តាលឱ្យមានបន្ទុកពិសេសណាមួយនៅលើ ស៊ីភីយូផ្ទុយទៅនឹងការដំណើរការដោយយោងតាមបញ្ជីនៃច្បាប់នៅក្នុង IPTables ។
ហើយសំណួរទីពីរ៖ តើអ្នកអាចសម្គាល់ការតភ្ជាប់ដោយរបៀបណា?
ប្រសិនបើអ្វីៗទាំងអស់មានភាពច្បាស់លាស់ជាមួយនឹងកញ្ចប់៖ វាមានបឋមកថាដែលយើងធ្វើការផ្លាស់ប្តូរ តើអ្វីជាការបង្ហាញពិតនៃគំនិតនៃ "ការតភ្ជាប់" ដែលយើងអាចធ្វើការដូចម្ដេច? តើយើងកំពុងសម្គាល់អ្វី?
> ការកក់ឆានែលនៅលើ Mikrotik ដោយគ្មានស្គ្រីប
មីក្រូធីក អ្នកបរាជ័យ។ ផ្ទុកតុល្យភាព
នៅពេលដែលខ្ញុំត្រូវការស្វែងយល់ពីរបៀបធ្វើបរាជ័យ ឬផ្ទុកតុល្យភាព ការមានបណ្តាញពីរ ឬច្រើនទៅកាន់ពិភពលោក ខ្ញុំបានរកឃើញអត្ថបទ និងការណែនាំជាច្រើនដែលពិពណ៌នាអំពីការកំណត់រចនាសម្ព័ន្ធការងារ។ ប៉ុន្តែខ្ញុំស្ទើរតែរកមិនឃើញការពន្យល់អំពីរបៀបដែលអ្វីៗដំណើរការឬការពិពណ៌នាអំពីភាពខុសគ្នានោះទេ។ ជម្រើសផ្សេងគ្នា. ខ្ញុំចង់កែតម្រូវភាពអយុត្តិធម៌នេះហើយប្រមូលជម្រើសដ៏សាមញ្ញបំផុតសម្រាប់ការសាងសង់ការបរាជ័យ និងការផ្ទុកការកំណត់រចនាសម្ព័ន្ធតុល្យភាពនៅក្នុងអត្ថបទមួយ។ដូច្នេះ យើងមានរ៉ោតទ័រមួយដែលភ្ជាប់បណ្តាញក្នុងស្រុករបស់យើងនិងបណ្តាញពីរទៅអ៊ីនធឺណិត (សំខាន់ ISP1 និង ISP2 បម្រុងទុក)។
តោះមើលអ្វីដែលយើងអាចធ្វើ៖
ឥឡូវនេះ យើងមានឆានែលបម្រុងទុកដែលចរាចរណ៍អាចត្រូវបានដឹកនាំប្រសិនបើបណ្តាញសំខាន់បរាជ័យ។ ប៉ុន្តែតើអ្នកអាចធ្វើឱ្យ mikrotik យល់ថាឆានែលបានធ្លាក់ចុះដោយរបៀបណា?
ការកក់ឆានែលសាមញ្ញបំផុត។
ការបរាជ័យដ៏សាមញ្ញបំផុតអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយប្រើអាទិភាពផ្លូវ (ចម្ងាយសម្រាប់ mikrotik/cisco, ម៉ែត្រសម្រាប់លីនុច/វីនដូ) ក៏ដូចជាយន្តការសម្រាប់ពិនិត្យមើលភាពអាចរកបាននៃច្រកចេញចូល - ច្រកទ្វារត្រួតពិនិត្យ។នៅក្នុងការកំណត់រចនាសម្ព័ន្ធខាងក្រោម ចរាចរណ៍អ៊ីនធឺណិតទាំងអស់តាមលំនាំដើមឆ្លងកាត់ 10.100.1.254 (ISP1)។ ប៉ុន្តែដរាបណាអាសយដ្ឋាន 10.100.1.254 ក្លាយជាមិនអាចប្រើបាន (ហើយផ្លូវឆ្លងកាត់វាអសកម្ម) ចរាចរណ៍នឹងឆ្លងកាត់ 10.200.1.254 (ISP2) ។
ការកំណត់រចនាសម្ព័ន្ធ៖ ការបរាជ័យសាមញ្ញ
# រៀបចំបណ្តាញអ្នកផ្តល់សេវា៖
### ធានានូវភាពច្របូកច្របល់របស់ប៉ុស្តិ៍ វិធីប្រពៃណី###
# បញ្ជាក់ច្រកចេញចូលលំនាំដើមចំនួន 2 ដែលមានអាទិភាពផ្សេងៗគ្នា
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=10.100.1.254 distance=1 check-gateway=ping
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=10.200.1.254 distance=2 check-gateway=ping
Check-gateway=ping សម្រាប់ mikrotik ត្រូវបានដំណើរការដូចនេះ៖
តាមកាលកំណត់ (រៀងរាល់ 10 វិនាទី) ច្រកចេញចូលត្រូវបានត្រួតពិនិត្យដោយផ្ញើកញ្ចប់ព័ត៌មាន ICMP (ping) ទៅវា។ កញ្ចប់មួយត្រូវបានចាត់ទុកថាបាត់បង់ ប្រសិនបើវាមិនត្រលប់មកវិញក្នុងរយៈពេល 10 វិនាទី។ បន្ទាប់ពីបាត់កញ្ចប់ព័ត៌មានចំនួនពីរ ច្រកផ្លូវត្រូវបានចាត់ទុកថាមិនអាចប្រើបាន។ បន្ទាប់ពីទទួលបានការឆ្លើយតបពីច្រកទ្វារ វាអាចប្រើបាន ហើយបញ្ជរកញ្ចប់ព័ត៌មានដែលបាត់ត្រូវបានកំណត់ឡើងវិញ។
ធានាការបរាជ័យជាមួយនឹងការវិភាគឆានែលកាន់តែស៊ីជម្រៅ។
នៅក្នុងឧទាហរណ៍មុន អ្វីគ្រប់យ៉ាងគឺល្អ លើកលែងតែស្ថានភាពនៅពេលដែលច្រកផ្លូវរបស់អ្នកផ្តល់សេវាអាចមើលឃើញ និងឆ្លើយតប ប៉ុន្តែមិនមានអ៊ីនធឺណិតនៅពីក្រោយវាទេ។ វានឹងជួយយើងយ៉ាងច្រើន ប្រសិនបើយើងអាចធ្វើការសម្រេចចិត្តអំពីលទ្ធភាពជោគជ័យរបស់អ្នកផ្តល់សេវាដោយ pinging មិនមែនជាច្រកចេញចូលដោយខ្លួនឯងនោះទេ ប៉ុន្តែមានអ្វីមួយនៅពីក្រោយវា។ខ្ញុំដឹងពីជម្រើសពីរសម្រាប់ការដោះស្រាយបញ្ហាវិស្វកម្មនេះ។ ទីមួយ និងទូទៅបំផុតគឺការប្រើស្គ្រីប ប៉ុន្តែដោយសារយើងមិនប៉ះស្គ្រីបនៅក្នុងអត្ថបទនេះ យើងនឹងរៀបរាប់លម្អិតបន្ថែមទៀតនៅលើទីពីរ។ វាបង្កប់ន័យការប្រើប្រាស់មិនត្រឹមត្រូវទាំងស្រុងនៃប៉ារ៉ាម៉ែត្រវិសាលភាព ប៉ុន្តែវានឹងជួយយើងស៊ើបអង្កេតបណ្តាញអ្នកផ្តល់សេវាឱ្យជ្រៅជាងច្រកផ្លូវ។
គោលការណ៍គឺសាមញ្ញ៖
ជំនួសឱ្យការចង្អុលបង្ហាញបែបប្រពៃណីនៃ default gateway=gateway របស់អ្នកផ្តល់សេវា យើងនឹងប្រាប់ router ថា default gateway គឺជាផ្នែកមួយនៃ always_available_nodes (ឧទាហរណ៍ 8.8.8.8 ឬ 8.8.4.4) ហើយវាអាចចូលដំណើរការបានតាមរយៈ gateway របស់អ្នកផ្តល់សេវា។
ការកំណត់រចនាសម្ព័ន្ធ៖ បរាជ័យជាមួយនឹងការវិភាគឆានែលកាន់តែស៊ីជម្រៅ
# រៀបចំបណ្តាញអ្នកផ្តល់សេវា៖
/ip address បន្ថែមអាសយដ្ឋាន=10.100.1.1/24 interface=ISP1
/ip address បន្ថែមអាសយដ្ឋាន=10.200.1.1/24 interface=ISP2
# រៀបចំចំណុចប្រទាក់មូលដ្ឋាន
/ip address បន្ថែមអាសយដ្ឋាន=10.1.1.1/24 interface=LAN
# លាក់នៅពីក្រោយ NAT អ្វីគ្រប់យ៉ាងដែលចេញមក បណ្តាញក្នុងស្រុក
/ip firewall nat បន្ថែម src-address=10.1.1.0/24 action=masquerade chain=srcnat
### ផ្តល់នូវការបរាជ័យជាមួយនឹងការវិភាគឆានែលកាន់តែស៊ីជម្រៅ###
#ដោយប្រើប៉ារ៉ាម៉ែត្រវិសាលភាព យើងនឹងបញ្ជាក់ផ្លូវដែលកើតឡើងដដែលៗទៅកាន់ថ្នាំង 8.8.8.8 និង 8.8.4.4
/ip route បន្ថែម dst-address=8.8.8.8 gateway=10.100.1.254 វិសាលភាព=10
/ip route បន្ថែម dst-address=8.8.4.4 gateway=10.200.1.254 វិសាលភាព=10
# បញ្ជាក់ច្រកចេញចូលលំនាំដើមចំនួន 2 តាមរយៈថ្នាំងផ្លូវដែលត្រូវបញ្ជាក់ឡើងវិញ
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping
ឥឡូវយើងក្រឡេកមើលអ្វីដែលកំពុងកើតឡើងដោយលម្អិតបន្តិចបន្តួច៖
ល្បិចគឺថាច្រកផ្លូវរបស់អ្នកផ្តល់សេវាមិនដឹងថា 8.8.8.8 ឬ 8.8.4.4 គឺជារ៉ោតទ័រទេ ហើយនឹងបញ្ជូនចរាចរតាមផ្លូវធម្មតា។
mikrotik របស់យើងជឿថាតាមលំនាំដើមចរាចរអ៊ីនធឺណិតទាំងអស់គួរតែត្រូវបានផ្ញើទៅ 8.8.8.8 ដែលមិនអាចមើលឃើញដោយផ្ទាល់ ប៉ុន្តែអាចចូលប្រើបានតាមរយៈ 10.100.1.254។ ហើយប្រសិនបើ ping នៅលើ 8.8.8.8 បាត់ (ខ្ញុំសូមរំលឹកអ្នកថាផ្លូវទៅកាន់វាត្រូវបានបញ្ជាក់យ៉ាងតឹងរ៉ឹងតាមរយៈ gateway ពី ISP1) នោះ mikrotik នឹងចាប់ផ្តើមបញ្ជូនចរាចរអ៊ិនធឺណិតទាំងអស់ទៅ 8.8.4.4 ឬផ្ទុយទៅវិញទៅកាន់ 10.200 ដែលបានកំណត់ឡើងវិញ។ .1.254 (ISP2).
ឃពេលខ្លះនៃថ្ងៃ។ នៅថ្ងៃផ្សេងទៀតខ្ញុំបានយល់ច្រឡំអំពីការរៀបចំការអត់ឱនកំហុសនៃ CCR1036-8G-2S+ របស់ខ្ញុំ។ ខ្ញុំបានមើលសម្ភារៈជាច្រើននៅលើអ៊ីនធឺណិត ប៉ុន្តែភាគច្រើនវាមិនសមនឹងខ្ញុំទេ។ ហើយបន្ទាប់មកខ្ញុំបានជួបនឹងមួយដែលមានប្រយោជន៍ដែលសក្តិសមទាំងស្រុងសម្រាប់ការដោះស្រាយបញ្ហារបស់ខ្ញុំ. ការដំឡើងខាងក្រោមគឺដំណើរការ 100% ។
យើងបានពិចារណារួចហើយនូវជម្រើសនៃការតភ្ជាប់អ្នកផ្ដល់អ៊ីនធឺណិតពីរទៅរ៉ោតទ័រមួយដែលគ្រប់គ្រងដោយ ប្រព័ន្ធប្រតិបត្តិការ Mikrotik RouterOS ។
ទោះយ៉ាងណាក៏ដោយនេះគឺជាជម្រើសដ៏សាមញ្ញបំផុត។ ដែលប្រហែលជាមិនតែងតែសមរម្យនៅក្នុងលក្ខខណ្ឌជាក់លាក់។ ដូច្នេះហើយ ថ្ងៃនេះ យើងនឹងលើកយកឧទាហរណ៍ជាក់លាក់មួយចំនួននៃការកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រជាមួយនឹងលក្ខខណ្ឌនៃការតភ្ជាប់ទៅកាន់អ្នកផ្តល់សេវាពីរ ហើយនឹងបង្ហាញលម្អិតបន្ថែមទៀតអំពីភាពខុសប្លែកមួយចំនួននៃការកំណត់រចនាសម្ព័ន្ធ Firewall, NAT, ការកំណត់ផ្លូវ និងការផ្ទុកតុល្យភាព ឬការប្រើប្រាស់ទីពីរ។ ឆានែលជាការបម្រុងទុក។
ហើយចាប់តាំងពីរឿងបន្ថែមទៀតនឹងមានឧទាហរណ៍ជាក់លាក់ យើងនឹងចាប់ផ្តើមវាជាមួយនឹងលក្ខខណ្ឌជាក់លាក់។ យើងមានអ្នកផ្តល់សេវា 2 នាក់។ ការប្រាស្រ័យទាក់ទងជាមួយទាំងពីរត្រូវបានបង្កើតឡើងតាមរយៈពិធីការ PPPoE ។ របៀបរៀបចំការតភ្ជាប់ជាមួយ ISP ត្រូវបានពិពណ៌នាលម្អិតនៅក្នុងអត្ថបទនេះ ដូច្នេះយើងនឹងរំលងដំណើរការនេះ។ ចំណាំតែអ្នកផ្តល់សេវាលេខ 1 ប៉ុណ្ណោះដែលត្រូវបានភ្ជាប់ទៅច្រក Ether1 ហើយឈ្មោះនៃការតភ្ជាប់ PPPoE របស់វាគឺ ISP1 ។ អ្នកផ្តល់លេខ 2 ត្រូវបានភ្ជាប់ទៅច្រក Ether2 ហើយមានឈ្មោះការតភ្ជាប់ PPPoE - ISP2 ។
ចំណុចតែមួយគត់គឺថានៅពេលអនាគតយើងនឹងបង្កើតច្បាប់កំណត់ផ្លូវដោយខ្លួនឯង ដូច្នេះនៅពេលបង្កើតការតភ្ជាប់ទៅកាន់អ្នកផ្តល់សេវា អ្នកត្រូវដោះធីកធាតុបន្ថែមផ្លូវលំនាំដើមនៅលើផ្ទាំង Dial Out សម្រាប់ការតភ្ជាប់ PPPoE ។ណាត
ដើម្បីឱ្យបណ្តាញរបស់យើងដំណើរការបានត្រឹមត្រូវ និងមានសិទ្ធិចូលប្រើអ៊ីនធឺណិត យើងត្រូវកំណត់រចនាសម្ព័ន្ធ NAT ។ ដើម្បីធ្វើដូចនេះបើកផ្នែក IP -> Firewall ចូលទៅកាន់ផ្ទាំង NAT ហើយប្រើប៊ូតុង "+" ដើម្បីបន្ថែមច្បាប់ថ្មី។ នៅលើផ្ទាំងទូទៅ ជ្រើសរើសខ្សែសង្វាក់ Scrnat ។ តម្លៃវាល។ ចំណុចប្រទាក់, ក្នុងក្នុងករណីនេះ
ជំហានបន្ទាប់របស់យើងគឺការដំឡើង មុខងារជញ្ជាំងភ្លើងដែលត្រូវបានរចនាឡើងដើម្បីការពារបណ្តាញក្នុងស្រុករបស់យើង។
តោះទៅផ្ទាំង Filter Rules ដែលយើងត្រូវបង្កើតច្បាប់មូលដ្ឋានមួយចំនួន យោងទៅតាមការអនុម័តកញ្ចប់ព័ត៌មានតាមរយៈ Router របស់យើងនឹងត្រូវបានរៀបចំ។
ប្រសិនបើអ្នកមានច្បាប់ណាមួយនៅក្នុងផ្នែកនេះ អ្នកគួរតែលុបពួកវាជាមុនសិន។
ច្បាប់ថ្មីអាចត្រូវបានបន្ថែមដោយចុចប៊ូតុង "+" បន្ទាប់មកឧទាហរណ៍សម្រាប់ច្បាប់ដែលអនុញ្ញាតឱ្យ ping - chain=input protocol=icmp action=accept នៅលើផ្ទាំងទូទៅ យើងជ្រើសរើសខ្សែសង្វាក់-បញ្ចូល និង ពិធីការ - icmp ។
អនុញ្ញាតឱ្យ Ping
chain=input protocol=icmp action=ទទួលយក
ខ្សែសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព icmp = ទទួលយក
អនុញ្ញាតឱ្យមានការតភ្ជាប់ដែលបានបង្កើតឡើង
ខ្សែសង្វាក់ = បញ្ចូលការតភ្ជាប់ - រដ្ឋ = សកម្មភាពដែលបានបង្កើតឡើង = ទទួលយក
ខ្សែសង្វាក់ = ឆ្ពោះទៅមុខការតភ្ជាប់ - រដ្ឋ = សកម្មភាពដែលបានបង្កើតឡើង = ទទួលយក
អនុញ្ញាតឱ្យមានការតភ្ជាប់ដែលពាក់ព័ន្ធ I
chain=input connection-state=related action=ទទួល
ខ្សែសង្វាក់ = ឆ្ពោះទៅមុខការតភ្ជាប់ - រដ្ឋ = សកម្មភាពពាក់ព័ន្ធ = ទទួលយក
យើងហាមឃាត់ការតភ្ជាប់ដែលមិនជោគជ័យ
Chain=input connection-state=invalid action=drop
chain=forward connection-state=សកម្មភាពមិនត្រឹមត្រូវ=ទម្លាក់
អនុញ្ញាតឱ្យមានការតភ្ជាប់តាមរយៈពិធីការ UDPខ្សែសង្វាក់ = ពិធីការបញ្ចូល = សកម្មភាព udp = ទទួលយក
ខ្សែសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព udp = ទទួលយក
យើងបើកការចូលប្រើអ៊ីនធឺណិតសម្រាប់បណ្តាញមូលដ្ឋានរបស់យើង។ សម្រាប់អ្នកដែលមានបុព្វបទបណ្តាញមូលដ្ឋានខុសពី 192.168.0.0/24 សូមដាក់អាសយដ្ឋានរបស់អ្នកជំនួសវិញ។
ខ្សែសង្វាក់=ឆ្ពោះទៅមុខ src-address=192.168.0.0/24 សកម្មភាព=ទទួលយក
យើងអនុញ្ញាតឱ្យចូលប្រើរ៉ោតទ័រតែពីបណ្តាញមូលដ្ឋានដូចខាងលើ - 192.168.0.0/24 គួរតែត្រូវបានជំនួសដោយអាសយដ្ឋានរបស់អ្នក។
ខ្សែសង្វាក់=បញ្ចូល src-address=192.168.0.0/24 សកម្មភាព=ទទួលយក
ហើយនៅទីបញ្ចប់ យើងហាមអ្វីៗផ្សេងទៀត។
ខ្សែសង្វាក់ = សកម្មភាពបញ្ចូល = ទម្លាក់
ខ្សែសង្វាក់ = សកម្មភាពទៅមុខ = ទម្លាក់
វាច្បាស់ណាស់ថាការបើកវិនដូថ្មីរាល់ពេល និងបំពេញវាលចាំបាច់ទាំងអស់គឺគួរឱ្យធុញទ្រាន់ណាស់ ដូច្នេះហើយខ្ញុំសូមណែនាំឱ្យបើក New Terminal ហើយកំណត់ពាក្យបញ្ជាដែលបានរាយខាងក្រោមម្តងមួយៗ។ វានឹងចំណាយពេលតិចជាងច្រើន។
តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព icmp = ទទួលយក
ip firewall filter add chain=input connection-state=establied action=ទទួលយក
ip firewall filter add chain=forward connection-state=establied action=accept
ip firewall filter add chain=input connection-state=related action=ទទួលយក
ip firewall filter add chain=forward connection-state=related action=ទទួលយក
ip firewall filter add chain=input connection-state=invalid action=drop
ip firewall filter add chain=forward connection-state=invalid action=drop
ip firewall filter add chain=input protocol=udp action=accept
តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព udp = ទទួលយក
ip firewall filter add chain=forward src-address=192.168.0.0/24 action=ទទួល
ip firewall filter add chain=បញ្ចូល src-address=192.168.0.0/24 action=accept
តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = សកម្មភាពបញ្ចូល = ទម្លាក់
តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = សកម្មភាពទៅមុខ = ទម្លាក់
ប៉ុន្តែមិនថាយើងធ្វើវាតាមវិធីណានោះទេ នៅទីបំផុតយើងគួរតែទទួលបានវិធីខាងក្រោម។
ជំហានចុងក្រោយ ប៉ុន្តែជាជំហានដ៏សំខាន់បំផុតមួយ គឺការបង្កើតផ្លូវ។ ចូរចាប់ផ្តើមដោយការសម្គាល់ការតភ្ជាប់របស់យើងទៅកាន់អ្នកផ្តល់សេវា។ នេះគឺចាំបាច់ដើម្បីឱ្យសំណើទាំងអស់ដែលចូលមកចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាជាក់លាក់មួយទៅកាន់ចំណុចប្រទាក់របស់វា។ នេះពិតជាមានសារៈសំខាន់ណាស់ ប្រសិនបើយើងនៅពីក្រោយ NAT និងមានធនធានណាមួយដែលត្រូវការចូលប្រើពីអ៊ីនធឺណិតសកល។ ឧទាហរណ៍ ម៉ាស៊ីនមេគេហទំព័រ ឬម៉ាស៊ីនបម្រើសំបុត្រ។ល។ យើងបានពិភាក្សារួចហើយអំពីរបៀបរៀបចំប្រតិបត្តិការនៃសេវាកម្មបែបនេះនៅក្នុងអត្ថបទ ការកំណត់កម្រិតខ្ពស់ Mikrotik RouterOS: ការបញ្ជូនបន្តច្រក - dstna t.
ដើម្បីធ្វើដូចនេះយើងត្រូវបង្កើតច្បាប់ពីរដាច់ដោយឡែកសម្រាប់អ្នកផ្តល់សេវានីមួយៗនៅក្នុង IP -> ផ្នែក Firewall នៅលើផ្ទាំង Manngle ។
នៅលើផ្ទាំងទូទៅ ជ្រើសរើសខ្សែសង្វាក់បន្តបន្ទាប់ ហើយជា In.Interface ជ្រើសរើសចំណុចប្រទាក់ PPPoE សម្រាប់ភ្ជាប់ ISP1 អ្នកផ្តល់សេវាទីមួយ។
ឥឡូវនេះ ដើម្បីផ្ញើការឆ្លើយតបទៅនឹងសំណើចូលតាមរយៈចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាដូចគ្នា យើងត្រូវបង្កើតច្បាប់ចំនួន 2 បន្ថែមទៀតដែលនឹងសម្គាល់ផ្លូវ។
នៅទីនេះ យើងបង្កើតច្បាប់ថ្មីមួយដែលយើងជ្រើសរើសតម្លៃ prerouting ជា Chain បញ្ចូលបុព្វបទនៃបណ្តាញមូលដ្ឋានរបស់យើង 192.168.0.0/24 នៅក្នុងវាល Scr.Address ហើយជ្រើសរើសសញ្ញាតភ្ជាប់របស់អ្នកផ្តល់សេវា ISP1-con ដំបូងរបស់យើងនៅក្នុង Cjnnection Mark ។
ហើយឥឡូវនេះ ប្រសិនបើយើងមានធនធានណាមួយដែលត្រូវចូលប្រើទាំងស្រុងតាមរយៈចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាជាក់លាក់មួយ យើងត្រូវបង្កើតបញ្ជីធនធានទាំងនេះ ហើយសម្គាល់ការតភ្ជាប់ទាំងអស់ជាមួយអាសយដ្ឋានពីបញ្ជីនេះសម្រាប់ការកំណត់ផ្លូវត្រឹមត្រូវបន្ថែមទៀត។
ឧទាហរណ៍ អ្នកផ្តល់សេវាលេខ 2 - ISP2 - មានធនធានក្នុងស្រុកដែលមានជួរអាសយដ្ឋាន 181.132.84.0/22 ។ ហើយតាមរយៈអ្នកផ្តល់សេវាលេខ 1, ping ទៅ ម៉ាស៊ីនមេហ្គេមហ្គេមអនឡាញ តិចជាងច្រើន។ ហើយយើងដឹងថាអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេទាំងនេះគឺ 90.231.6.37 និង 142.0.93.168 ។
ចូលទៅកាន់ផ្ទាំងបញ្ជីអាសយដ្ឋាននៃ IP -> ផ្នែកជញ្ជាំងភ្លើង។ ហើយម្តងមួយៗ យើងបន្ថែមអាសយដ្ឋាន IP ឬបណ្តាញរងទាំងនេះ ដោយដាក់ឈ្មោះទៅ-ISP1 ឬទៅ-ISP2 អាស្រ័យលើអ្នកផ្តល់សេវាណាដែលធនធានទាំងនេះគួរតែត្រូវបានចូលប្រើ។
ហើយចាប់តាំងពីអ្នកផ្តល់សេវាភាគច្រើនប្រើ DNS ផ្ទាល់ខ្លួនម៉ាស៊ីនមេ ការចូលប្រើដែលជារឿយៗត្រូវបានហាមឃាត់ពីបណ្តាញផ្សេងទៀត បន្ទាប់មកវានឹងមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការបន្ថែមអាសយដ្ឋានរបស់ម៉ាស៊ីនមេ DNS របស់អ្នកផ្តល់សេវានីមួយៗទៅក្នុងបញ្ជីទាំងនេះ ដូច្នេះសំណើឈ្មោះដែនទៅកាន់ពួកគេតាមរយៈចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាជាក់លាក់។
ហើយនៅលើផ្ទាំងសកម្មភាព សកម្មភាព - សម្គាល់ផ្លូវ សញ្ញាកំណត់ផ្លូវថ្មី - ISP1-rt ។
ហើយសូមបន្តទៅផ្នែកមូលដ្ឋានបំផុតនៃការដំឡើង routing - ការបង្កើត static routing rules នៅក្នុង IP -> Routes section។
ប្រសិនបើបណ្តាញរបស់អ្នកផ្តល់សេវាទាំងពីររបស់យើងស្ទើរតែស្មើគ្នា នោះយើងបន្ថែមផ្លូវដូចខាងក្រោម៖ នៅក្នុងផ្ទាំងទូទៅនៃបង្អួចបង្កើតផ្លូវសម្រាប់ Dst.Address យើងសរសេរ 0.0.0.0/0 ហើយជា Getway យើងជ្រើសរើសចំណុចប្រទាក់របស់អ្នកផ្តល់សេវារបស់យើង ISP1 និង ISP2 ។ ប៉ារ៉ាម៉ែត្រផ្សេងទៀតទាំងអស់ត្រូវបានទុកចោល។
នៅក្នុងជម្រើសនេះ បន្ទុកលើអ្នកផ្តល់សេវាទាំងពីរនឹងត្រូវបានចែកចាយស្មើៗគ្នា។
Dst.Address ដំបូងគឺ 0.0.0.0/0, Gateway គឺ ISP1។
ហើយ Dst.Address ទីពីរគឺ 0.0.0.0/0, Gateway គឺ ISP2, ចម្ងាយគឺ 2។
ទីមួយនឹងមាន Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt, និងទីពីរ រៀងគ្នា Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt
ឥឡូវនេះ ធ្វើការជាមួយអ្នកផ្តល់សេវាពីរត្រូវបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ។ ការភ្ជាប់ចូលទាំងអស់ត្រូវបានសម្គាល់ ហើយការឆ្លើយតបចំពោះពួកវាត្រូវបានផ្ញើតាមរយៈចំណុចប្រទាក់ដែលសំណើបានមក។ ការហៅទៅកាន់ធនធានជាក់លាក់ត្រូវបានចែកចាយ ហើយបន្ទុកនៅលើបណ្តាញទាំងពីរមានតុល្យភាព។
អត្ថបទពិពណ៌នា ការណែនាំលម្អិតរបៀបរៀបចំការកក់ឆានែលអ៊ីនធឺណិតពីប្រតិបត្តិករទូរស័ព្ទចល័តពីរនៅលើរ៉ោតទ័រ Mikrotik ។
|
Mikrotik នឹងទទួលបានអ៊ីនធឺណិតពីរ៉ោតទ័រដែលភ្ជាប់មកជាមួយ Tandem-4GL-OEM ។ រ៉ោតទ័រនឹងប្រើស៊ីមកាតពីរផ្សេងគ្នា ប្រតិបត្តិករទូរស័ព្ទចល័ត. ប្រតិបត្តិករមួយក្នុងចំណោមប្រតិបត្តិករនឹងត្រូវបានប្រើជាបណ្តាញអ៊ីនធឺណិតសំខាន់ទីពីរ - ជាការបម្រុងទុក។ ប្រសិនបើអ៊ិនធឺណិតត្រូវបានបាត់បង់នៅលើឆានែលមេ Mikrotik ត្រូវតែប្តូរអ៊ីនធឺណិតទៅឆានែលបម្រុងទុក។ នៅពេលដែលប៉ុស្តិ៍មេបន្ត សូមប្តូរទៅប៉ុស្តិ៍មេដោយស្វ័យប្រវត្តិ។ លទ្ធផលនឹងជាបណ្តាញអ៊ីនធឺណេតដែលមានស្ថេរភាពខ្លាំងពីប្រតិបត្តិករទូរស័ព្ទពីរ ដែលអាចប្រើបាននៅកន្លែងដាច់ស្រយាលដែលអ៊ីនធឺណិត 3G/4G ត្រូវបានប្រើប្រាស់។ |
គួរឱ្យចាប់អារម្មណ៍:
|
សម្រាប់អ៊ីនធឺណិត យើងប្រើច្រកពីរនៃរ៉ោតទ័រ Mikrotik: ទី 1 និងទី 5 ។ ច្រកទី 5 (POE ចេញ) មានសមត្ថភាពផ្តល់ថាមពលដល់ឧបករណ៍លើខ្សែគូភ្លោះ (Power over Ethernet) ដូច្នេះវាងាយស្រួលប្រើវា រ៉ោតទ័រ Tandem-4GL-OEM មានលទ្ធភាពផ្តល់ថាមពលលើ PoE ។
ច្រកទាំងពីរនឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទទួលបានថាមវន្ត ការកំណត់បណ្តាញតាមរយៈ DHCP ។ តាមលំនាំដើម រ៉ោតទ័រ Tandem-4GL-OEM មានអាសយដ្ឋាន IP ផ្ទាល់ខ្លួន 192.168.1.1 ។ យើងនឹងប្រើរ៉ោតទ័រ 2 ក្នុងចំណោមរ៉ោតទ័រទាំងនេះ ដូច្នេះមួយក្នុងចំណោមពួកវាត្រូវតែកំណត់រចនាសម្ព័ន្ធទៅបណ្តាញរងផ្សេង។
ដើម្បីធ្វើដូចនេះភ្ជាប់ Tandem-4GL-OEM ដោយផ្ទាល់ទៅកុំព្យូទ័ររបស់អ្នកហើយចូលទៅកាន់ចំណុចប្រទាក់បណ្តាញនៅ 192.168.1.1 ។ ចូលទៅកាន់ម៉ឺនុយបណ្តាញ - ចំណុចប្រទាក់ - ចុចប៊ូតុងកែសម្រួលចំណុចប្រទាក់ LAN ។
ចុះឈ្មោះអាសយដ្ឋាន IP ថ្មីសម្រាប់រ៉ោតទ័រ។ យើងបញ្ចូល 192.168.2.1 ។ ក្នុងករណីនេះ រ៉ោតទ័រនឹងចែកចាយអាសយដ្ឋាន IP ដោយស្វ័យប្រវត្តិរួចហើយនៅក្នុងបណ្តាញរងនេះ។ ចុចរក្សាទុក។
តោះបន្តទៅ ការដំឡើង Mikrotik . រ៉ោតទ័រដែលមាន IP 192.168.2.1 នឹង ឆានែលបម្រុងទុកអ៊ីនធឺណិត ភ្ជាប់វាទៅច្រកទី 1 នៃរ៉ោតទ័រ Mikrotik ។ ច្រកទី 5 ដែលមាន PoE នឹងក្លាយជាអ៊ីនធឺណិតសំខាន់។
បើកដំណើរការ Winbox ហើយភ្ជាប់ទៅរ៉ោតទ័រដោយប្រើអាសយដ្ឋាន MAC ។ (សរសេរនៅលើរ៉ោតទ័រខ្លួនឯង) ។ ពាក្យសម្ងាត់លំនាំដើមគឺអ្នកគ្រប់គ្រង គ្មានពាក្យសម្ងាត់ត្រូវបានបញ្ជាក់ទេ។
ដោយប្រើកម្មវិធី Winbox យើងកំណត់ឡើងវិញ ការកំណត់រចនាសម្ព័ន្ធរោងចក្រតាមលំនាំដើម ដើម្បីកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ MikroTik សម្រាប់អ្នកផ្តល់សេវាពីរពីដំបូង៖
- បើកម៉ឺនុយប្រព័ន្ធ - កំណត់ការកំណត់ឡើងវិញ;
- ធីកប្រអប់គ្មានការកំណត់រចនាសម្ព័ន្ធលំនាំដើម;
- ចុចកំណត់រចនាសម្ព័ន្ធឡើងវិញ។
ភ្ជាប់ទៅ Mikrotik ឡើងវិញដោយប្រើ Winbox ។
តោះរៀបចំវា។ ច្រក LAN 2-4 និង Wi-Fi ។ច្រកទាំងនេះនឹងត្រូវបានបញ្ចូលគ្នាទៅក្នុងបណ្តាញមូលដ្ឋានតែមួយ។ ដើម្បីធ្វើដូច្នេះ យើងនឹងបង្កើតចំណុចប្រទាក់ Bridge ហើយបន្ថែមចំណុចប្រទាក់ ethe2-ether4 និង wlan1 ទៅវា។
បើកម៉ឺនុយស្ពានចុច + បញ្ចូលឈ្មោះចំណុចប្រទាក់ក្នុងវាល ឈ្មោះ ហើយចុច យល់ព្រម ។
ចូលទៅកាន់ផ្ទាំងច្រកនៃម៉ឺនុយស្ពាន។ ចូរបន្ថែមច្រកទាំងអស់ ether2-erher4 និង wlan1 ។
- ដើម្បីធ្វើដូចនេះចុច +;
- នៅក្នុងបញ្ជីចំណុចប្រទាក់ ជ្រើសរើស ether2;
- នៅក្នុងបញ្ជីស្ពាន ជ្រើសរើសចំណុចប្រទាក់ស្ពានមូលដ្ឋាន ចុចយល់ព្រម។
ធ្វើប្រតិបត្តិការម្តងទៀតសម្រាប់ច្រក Ether ដែលនៅសេសសល់ និងសម្រាប់ Wi-Fi - wlan1 ។
កំណត់អាសយដ្ឋាន IP ទៅចំណុចប្រទាក់ស្ពាន៖
- បើក IP - ម៉ឺនុយអាសយដ្ឋាន;
- ចុចប៊ូតុង +;
- នៅក្នុងវាលអាសយដ្ឋាន បញ្ចូលអាសយដ្ឋាន IP និងរបាំងបណ្តាញមូលដ្ឋាន 192.168.88.1/24;
- នៅក្នុងបញ្ជីចំណុចប្រទាក់ ជ្រើសរើសចំណុចប្រទាក់បណ្តាញមូលដ្ឋានស្ពាន ចុចយល់ព្រម។
ការកំណត់វា។ ម៉ាស៊ីនមេ DHCPបណ្តាញក្នុងស្រុក។
ដើម្បីធានាថាកុំព្យូទ័រដែលភ្ជាប់ទៅរ៉ោតទ័រទទួលបានការកំណត់បណ្តាញដោយស្វ័យប្រវត្តិ យើងនឹងកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ DHCP៖
បើកម៉ឺនុយ IP - DHCP Server ហើយចុចប៊ូតុងដំឡើង DHCP
- នៅក្នុងបង្អួចដំបូងជ្រើសចំណុចប្រទាក់ស្ពានចុចបន្ទាប់;
- នៅក្នុងបង្អួចទីពីរ បណ្តាញសម្រាប់ការចែកចាយ DHCP ត្រូវបានកំណត់រចនាសម្ព័ន្ធ ទុកវាឱ្យនៅដដែល បន្ទាប់;
- នៅក្នុងបង្អួចទីបី អាសយដ្ឋានច្រកផ្លូវត្រូវបានចង្អុលបង្ហាញ ទុកវាឱ្យនៅដដែល បន្ទាប់;
- ជួរនៃអាសយដ្ឋាន IP អាចត្រូវបានទុកឱ្យមិនផ្លាស់ប្តូរ, បន្ទាប់;
- រយៈពេលជួល DHCP អាចត្រូវបានទុកចោលមិនផ្លាស់ប្តូរ បន្ទាប់ យល់ព្រម។
ការដំឡើង Wi-Fi
- បើកម៉ឺនុយឥតខ្សែ;
- ចុចលើចំណុចប្រទាក់ wlan1 ហើយចុចប៊ូតុងបើក (សញ្ញាធីកពណ៌ខៀវ) ។
បង្កើតពាក្យសម្ងាត់ដើម្បីភ្ជាប់ទៅកាន់ចំណុចចូលប្រើ MikroTik៖
- បើកផ្ទាំង ទម្រង់សុវត្ថិភាព ហើយធ្វើ ចុចពីរដងប៊ូតុងកណ្ដុរខាងឆ្វេងតាមលំនាំដើម;
- នៅក្នុងបង្អួចដែលលេចឡើង ក្នុងបញ្ជីរបៀប ជ្រើសរើសគ្រាប់ចុចថាមវន្ត។
- ធីកប្រអប់នៅជាប់នឹងការចុះឈ្មោះដោយប្រើពិធីការ WPA2 PSK;
- នៅក្នុងវាល WPA2 Pre-Shared Key សូមបញ្ចូលពាក្យសម្ងាត់ដើម្បីភ្ជាប់ទៅកាន់ចំណុច Wi-Fi ។ យល់ព្រម។
ការកំណត់ប៉ារ៉ាម៉ែត្រ ចំណុច Wi-Fi MikroTik៖
- បើកផ្ទាំង Interfaces ហើយចុចពីរដងដោយប្រើប៊ូតុងកណ្ដុរខាងឆ្វេង ចំណុចប្រទាក់ Wi-Fi wlan1 ដើម្បីបញ្ចូលការកំណត់របស់វា;
- ចូលទៅកាន់ផ្ទាំង Wireless ក្នុងបញ្ជី Mode ជ្រើសរើសរបៀបប្រតិបត្តិការ ap Bridge។
- បញ្ចូលឈ្មោះរបស់អ្នកនៅក្នុងវាល SSID បណ្តាញ Wi-Fiយល់ព្រម។ អ្នកក៏អាចកំណត់ការកំណត់ផ្សេងទៀតផងដែរ។
ការដំឡើងច្រកអ៊ីនធឺណិត
យើងកំណត់រចនាសម្ព័ន្ធច្រក 5 ដើម្បីទទួលការកំណត់បណ្តាញដោយថាមវន្តពីអ្នកផ្តល់សេវាតាមរយៈ DHCP ។
- បើក IP - ម៉ឺនុយអតិថិជន DHCP;
- ចុចប៊ូតុងបន្ថែម (ឈើឆ្កាងពណ៌ខៀវ);
- នៅក្នុងបង្អួចដែលលេចឡើងក្នុងបញ្ជីចំណុចប្រទាក់ជ្រើសចំណុចប្រទាក់ ether1;
- បន្ថែមផ្លូវលំនាំដើមជ្រើសរើស No; យល់ព្រម។
តោះធ្វើដូចគ្នាសម្រាប់ port ether1
ការដំឡើងការប្តូរបណ្តាញអ៊ីនធឺណិតរវាងអ្នកផ្តល់សេវាពីរ
ដើម្បីកំណត់រចនាសម្ព័ន្ធការប្តូរឆានែលអ៊ីនធឺណិតរវាងអ្នកផ្តល់សេវាពីរ យើងនឹងប្រើផ្លូវ និងឧបករណ៍ប្រើប្រាស់ Netwatch ដែលភ្ជាប់មកជាមួយ។
យើងនឹងមានផ្លូវពីរដែលចរាចរតាមអ៊ីនធឺណិតអាចទៅបាន។ ចរាចរណ៍ទាំងអស់នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 1 តាមលំនាំដើម។
ប្រសិនបើភ្លាមៗ ការតភ្ជាប់នឹងបាត់បង់ជាមួយអ្នកផ្តល់សេវាទី 1 បន្ទាប់មកយើងដំណើរការផ្លូវទី 2 ហើយចរាចរណ៍ទាំងអស់នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 2 ។
ដរាបណាការតភ្ជាប់តាមរយៈអ្នកផ្តល់សេវាទី 1 ត្រូវបានស្តារឡើងវិញ យើងបិទផ្លូវទី 2 ហើយចរាចរណ៍ទាំងអស់នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 1 ។
ឧបករណ៍ប្រើប្រាស់ Netwatch នឹងជួយអ្នកក្នុងការវាយអាសយដ្ឋាន IP នៅលើអ៊ីនធឺណិត និងដំណើរការស្គ្រីប ប្រសិនបើអាសយដ្ឋាន IP បានឈប់ ping ឬចាប់ផ្តើម ping ម្តងទៀត។ វានឹងអនុវត្តការធ្វើឱ្យសកម្ម និងការបិទផ្លូវ។
តោះបន្ថែម 2 ផ្លូវ។ ដើម្បីធ្វើដូចនេះចូលទៅកាន់ IP - ម៉ឺនុយផ្លូវ។ ចុច + ដើម្បីបន្ថែមផ្លូវថ្មី។
បញ្ចូលប៉ារ៉ាម៉ែត្រដូចក្នុងរូប ហើយចុចប៊ូតុង Comment ។
នៅក្នុងប្រអប់ Comment បញ្ចូល ISP1។ នេះគឺចាំបាច់ដើម្បីកំណត់ផ្លូវនៅពេលប្តូរទៅបម្រុង និងត្រឡប់មកវិញ។
ចុចយល់ព្រមក្នុងបង្អួចទាំងពីរ បន្ថែមផ្លូវថ្មីម្តងទៀត ហើយធ្វើជំហានម្តងទៀតសម្រាប់អ៊ីនធឺណិតទីពីរ។
- នៅក្នុងវាល Gateway យើងនឹងបញ្ចូល 192.168.2.1
- ក្នុងចំងាយ - ៣
- នៅក្នុងសេចក្តីអធិប្បាយ - ISP2
តោះបន្ថែមផ្លូវសម្រាប់ពាក្យបញ្ជា ping ។បន្ថែមផ្លូវថ្មីម្តងទៀតដោយប្រើប៊ូតុង + ។ បញ្ចូលទិន្នន័យដូចបង្ហាញក្នុងរូបភាព ចុច Comment ។ យើងបានហៅ ចំណុចប្រទាក់ Google, ដោយសារតែ នេះគឺជាអាសយដ្ឋានដែលយើងនឹង ping ។
បន្ថែមទៅ ច្បាប់ជញ្ជាំងភ្លើងដែលនឹងហាមឃាត់ការ pinging IP address 8.8.4.4តាមរយៈអ្នកផ្តល់សេវាទី 2 ។ បើមិនដូច្នេះទេ ឧបករណ៍ប្រើប្រាស់ Netwatch នឹងគិតថាការតភ្ជាប់ជាមួយអ្នកផ្តល់សេវាទីមួយត្រូវបានស្ដារឡើងវិញ ហើយនឹងប្តូរផ្លូវជាបន្តបន្ទាប់ជារង្វង់។
- បើក IP - ម៉ឺនុយជញ្ជាំងភ្លើង ហើយចូលទៅកាន់ផ្ទាំង ច្បាប់តម្រង;
- ចុចប៊ូតុង +;
- ក្នុងបញ្ជីសង្វាក់ ជ្រើសលទ្ធផល
- នៅក្នុងវាល Dst ។ អាសយដ្ឋាន បញ្ចូលអាសយដ្ឋានម៉ាស៊ីនមេ 8.8.4.4;
- នៅក្នុងបញ្ជីចេញ។ ចំណុចប្រទាក់ជ្រើសរើស ether1;
- ចូលទៅកាន់ផ្ទាំងសកម្មភាព;
នៅក្នុងបញ្ជីសកម្មភាព ជ្រើសរើសទម្លាក់ ចុចយល់ព្រម។
ការដំឡើងស្គ្រីបសម្រាប់ប្តូរទៅឆានែលបម្រុងទុក
Netwatch នឹងសាកល្បងការតភ្ជាប់ទៅអ៊ីនធឺណិតដោយ ping ម៉ាស៊ីនមេ Google ជាមួយនឹងអាសយដ្ឋាន IP 8.8.4.4 ។ ដរាបណាម៉ាស៊ីនមេឈប់ ping ស្គ្រីបនឹងត្រូវបានប្រតិបត្តិដែលដំណើរការផ្លូវទី 2 ហើយចរាចរណ៍នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 2 ។ ដរាបណាការតភ្ជាប់តាមរយៈអ្នកផ្តល់សេវាទី 1 ត្រូវបានស្ដារឡើងវិញ ស្គ្រីបមួយទៀតនឹងត្រូវបានប្រតិបត្តិ ដែលនឹងធ្វើឱ្យផ្លូវទី 2 ធ្វើឱ្យអសកម្ម ហើយចរាចរណ៍នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 1 ។
- បើកម៉ឺនុយ ឧបករណ៍ - Netwatch;
- ចុចប៊ូតុងបន្ថែម (សញ្ញាបូកពណ៌ខៀវ);
- នៅក្នុងវាលម៉ាស៊ីន បញ្ចូល ម៉ាស៊ីនមេ Google 8.8.4.4 ដែលឧបករណ៍ប្រើប្រាស់នឹង ping;
- នៅក្នុងវាល Interval បញ្ជាក់ចន្លោះពេលបន្ទាប់ពីនោះម៉ាស៊ីនមេនឹង ping យើងកំណត់វាទៅ 15 s ។
- ចូលទៅកាន់ផ្ទាំងចុះក្រោម;
នៅលើផ្ទាំងចុះក្រោម បញ្ចូលស្គ្រីប /ip route enable
ស្គ្រីបនេះនឹងដំណើរការផ្លូវតាមរយៈអ្នកផ្តល់សេវាទីពីរ ប្រសិនបើម៉ាស៊ីនមេ Google ឈប់ ping ។ ចូលទៅកាន់ផ្ទាំង Up ។
នៅលើផ្ទាំង Up បញ្ចូល /ip route disable script។
ស្គ្រីបនេះនឹងបិទដំណើរការផ្លូវតាមរយៈអ្នកផ្តល់សេវាទីពីរ ប្រសិនបើការតភ្ជាប់តាមរយៈអ្នកផ្តល់សេវាទីមួយត្រូវបានស្តារឡើងវិញ។ ចុចយល់ព្រម។
កំពុងពិនិត្យមើលការផ្លាស់ប្តូរអ៊ីនធឺណិតរវាងអ្នកផ្តល់សេវាពីរ
បើក IP - ម៉ឺនុយផ្លូវ។ ផ្លូវរបស់អ្នកផ្តល់សេវាទីពីរត្រូវតែជា ប្រផេះ, i.e. មិនសកម្ម។
ផ្តាច់ខ្សែពីអ្នកផ្តល់សេវាទី 1 ពីរ៉ោតទ័រ។ នៅក្នុង Routes ផ្លូវរបស់អ្នកផ្តល់សេវាទីពីរត្រូវតែត្រូវបានធ្វើឱ្យសកម្ម។
ពិនិត្យមើលថាតើមានអ៊ីនធឺណិតដែរឬទេ។ ភ្ជាប់ខ្សែឡើងវិញពីអ៊ីនធឺណិតមេ។ ការប្តូរគួរតែកើតឡើងក្នុងរយៈពេល 15 វិនាទី។
ដើម្បីសន្សំសំចៃចរាចរណ៍ វាត្រូវបានណែនាំឱ្យបង្កើនពេលវេលា ping ពី 1 នាទី។
ជម្រើសនៃការកក់ផ្សេងទៀតក៏អាចធ្វើទៅបានដែរ។
បរាជ័យ - ជាភាសារុស្សី នេះគឺជាការកក់បណ្តាញអ៊ីនធឺណេត ដោយប្តូរនៅក្នុងព្រឹត្តិការណ៍នៃការបរាជ័យនៃបណ្តាញអ៊ីនធឺណេតមេ ទៅជាការបម្រុងទុកមួយ។
ដូច្នេះយើងមាន Mikrotik អ្នកផ្តល់សេវាចំនួន 2 ត្រូវបានភ្ជាប់ទៅវា (ISP1 និង ISP2) ហើយបណ្តាញរបស់អ្នក ចាំបាច់ត្រូវប្តូរទៅការបម្រុងទុកដោយស្វ័យប្រវត្តិ នៅពេលដែលបណ្តាញអ៊ីនធឺណិតចម្បងបរាជ័យ។
1. វិធីសាស្រ្ត ការបរាជ័យត្រូវបានធ្វើឡើងដោយផ្លូវ អ្វីដែលអ្នកត្រូវធ្វើគឺចុះឈ្មោះផ្លូវពីរ មួយទៅ ISP1 និងទីពីរទៅ ISP2 ជ្រើសរើស ping ឬ arp នៅក្នុងធាតុ "Check Gateway" ។ តាមគំនិតរបស់ខ្ញុំ ភីងគឺសមរម្យជាងសម្រាប់ករណីភាគច្រើន។ តាមរបៀបដូចគ្នា ចុះឈ្មោះផ្លូវទៅកាន់អ្នកផ្តល់សេវាទីពីរ។ វាងាយស្រួលបំផុតសម្រាប់ខ្ញុំក្នុងការដំឡើង Mikrotik ដោយប្រើផ្លូវ Winbox ត្រូវបានចុះឈ្មោះក្នុងម៉ឺនុយ IP-Routes ។
ប្រសិនបើនៅក្នុងចម្ងាយដែលអ្នកកំណត់ឧទាហរណ៍ 1 ទៅអ្នកផ្តល់សេវាមួយ និង 2 ទៅទីពីរ នោះ Mikrotik នឹងធ្វើឱ្យមានតុល្យភាពដោយស្វ័យប្រវត្តិនៅពេលផ្ទុក។ ផ្ទុកពេញពីអ្នកផ្តល់សេវាទីមួយ សំណើថ្មីនឹងទៅទីពីរ។
វិធីសាស្រ្តនេះមានដែនកំណត់មួយចំនួន៖
- ប្រសិនបើអ្នកផ្តល់សេវាណាមួយផ្តល់ឱ្យអ្នកនូវ IP ថាមវន្ត ហើយការកំណត់មកតាមរយៈ DHCP នោះអ្នកនឹងមិនអាចចុះឈ្មោះផ្លូវដោយបញ្ជាក់ឈ្មោះចំណុចប្រទាក់បានទេ អ្នកនឹងត្រូវបញ្ចូល gateway ip នៅក្នុងវាល "Gateway" ។
— ពេលខ្លះមានស្ថានភាពនៅពេលដែលច្រកផ្លូវរបស់អ្នកផ្តល់សេវាកំពុងដំណើរការ ប៉ុន្តែថ្នាំងនៅពីក្រោយវាមិនអាចប្រើបាន Mikrotik នឹងពិចារណាផ្លូវដែលត្រូវដំណើរការ ការប្តូរនឹងមិនកើតឡើង ហើយអ៊ីនធឺណិតនឹងមិនដំណើរការទេ។
ជម្រើសទី 2 Falover នៅលើ Mikrotik ដោយគ្មានគុណវិបត្តិនៃវិធីសាស្រ្តដំបូង។
Mikrotik មាន Netwatch ដែលភ្ជាប់មកជាមួយ (មានទីតាំងនៅក្នុងម៉ឺនុយឧបករណ៍) ។ សរុបមក ឧបករណ៍ប្រើប្រាស់នេះអនុញ្ញាតឱ្យអ្នក ping ip ណាមួយ ហើយប្រតិបត្តិពាក្យបញ្ជាប្រសិនបើភាពអាចរកបាននៃអាសយដ្ឋាន ip ផ្លាស់ប្តូរ នៅក្នុងការ Up យើងបញ្ចូលពាក្យបញ្ជាដែលត្រូវបានប្រតិបត្តិនៅពេលដែល ip អាចប្រើបានម្តងទៀត ហើយនៅខាងក្រោមយើងបញ្ចូលពាក្យបញ្ជាដែលត្រូវប្រតិបត្តិ។ នៅពេលដែល ip មិនអាចប្រើបាន។
ខ្លឹមសារគឺច្បាស់ពីរូបភាព ចុចបូកពណ៌ខៀវ បញ្ចូល IP ដែលយើងនឹងពិនិត្យមើលដំណើរការរបស់ប៉ុស្តិ៍ ចន្លោះពេលសាកល្បង ខ្ញុំកំណត់វាប្រហែលមួយនាទី តិច ឬច្រើនអាចធ្វើបាន។
បាទ/ចាស ដំបូងអ្នកត្រូវតែកំណត់មតិយោបល់សម្រាប់ផ្លូវ។ វាងាយស្រួលបំផុតសម្រាប់ខ្ញុំក្នុងការដំឡើង Mikrotik តាមរយៈ Winbox ដើម្បីកំណត់សេចក្តីអធិប្បាយសម្រាប់ផ្លូវមួយ ចូលទៅកាន់ IP-Routes បង្អួចនឹងបើកជាមួយនឹងបញ្ជីផ្លូវ ប៊ូតុងសម្រាប់កំណត់មតិយោបល់ត្រូវបានគូសរង្វង់ ជ្រើសរើសផ្លូវដែលចង់បាន។ ចុចលើប៊ូតុង បញ្ចូលមតិយោបល់សម្រាប់ផ្លូវ សូមចុចយល់ព្រម។
រូបភាពបង្ហាញពីស្គ្រីបដំណើរការ ផ្លូវទៅកាន់ ISP2 (ខ្ញុំមាន Utel) មិនសកម្មទេ វាមានពណ៌ប្រផេះ ហើយផ្លូវទៅកាន់ ISP1 (ខ្ញុំមាន Stels) គឺសកម្ម។ ខាងក្រោមនេះអ្នកអាចឃើញផ្លូវជាមួយការអត្ថាធិប្បាយរបស់ Stels88 នេះជាការចាំបាច់ដើម្បីឱ្យ pings ទៅ 8.8.4.4 ដែលយើងប្រើក្នុងស្គ្រីបគឺបានមកពី ISP1 តែប៉ុណ្ណោះ នេះគឺចាំបាច់ដើម្បីតាមដានដំណើរការរបស់ ISP1 ភីងគឺល្អ ប្រសិនបើមិនមាន ការឆ្លើយតបទៅនឹង pings បន្ទាប់មកអ្នកត្រូវប្តូរទៅ ISP2 ។ របៀបដែលវាត្រូវបានធ្វើអាចមើលឃើញនៅក្នុងរូបភាពខាងក្រោម:
នៅក្នុងផ្នែក UP យើងសរសេរ:
/ip route set disabled=no
/ip route set disabled=yes
នៅក្នុងផ្នែកខាងក្រោមយើងសរសេរ៖
/ip route set disabled=yes
/ip route set disabled=no
ដើម្បីឱ្យគ្រោងការណ៍ដំណើរការបានត្រឹមត្រូវ អ្នកត្រូវអនុញ្ញាតឱ្យ IP នេះ ping តែពី ISP1 សម្រាប់ការនេះ វាត្រូវបានណែនាំឱ្យបន្ថែមច្បាប់ទៅ IP-Firewall ដែលហាមឃាត់ការចូលប្រើ 8.8.4.4 ពី ISP2 ហើយចុះឈ្មោះ។ ផ្លូវឋិតិវន្តទៅ 8.8.4.4 តាមរយៈ ISP1 gateway (in របៀបធម្មតា។វានឹងមិនដំណើរការទេប្រសិនបើ ISP1 ចេញ IP ថាមវន្ត ហើយអ្នកនឹងត្រូវសរសេរស្គ្រីបដែលនឹងកំណត់ IP gateway និងចុះឈ្មោះផ្លូវ)។
អ្នកឧបត្ថម្ភអត្ថបទ៖
ការបង្រៀន MikroTik - ទ្រឹស្តី និងការអនុវត្តជាទម្រង់វីដេអូ។
នៅក្នុងវគ្គសិក្សាវីដេអូ "" អ្នកនឹងរៀនពីរបៀបកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រពីដំបូងសម្រាប់គោលបំណង ការិយាល័យតូច. វគ្គសិក្សាគឺផ្អែកលើ កម្មវិធីផ្លូវការ MikroTik Certified Network Associate ប៉ុន្តែវាត្រូវបានពង្រីកយ៉ាងខ្លាំង ជាពិសេសទាក់ទងនឹងការពង្រឹងចំណេះដឹងក្នុងការអនុវត្ត។ វគ្គសិក្សារួមមានមេរៀនវីដេអូចំនួន ១៦២ និងមេរៀនចំនួន ៤៥ ការងារមន្ទីរពិសោធន៍រួមបញ្ចូលគ្នាទៅក្នុងលក្ខណៈបច្ចេកទេស។ ប្រសិនបើមានអ្វីមួយមិនច្បាស់លាស់ អ្នកអាចសួរសំណួរទៅកាន់អ្នកនិពន្ធនៃវគ្គសិក្សា។ មេរៀន 25 ដំបូងអាចមើលបានដោយឥតគិតថ្លៃ ទម្រង់បញ្ជាទិញមាននៅ
