តុល្យភាពអ្នកផ្តល់សេវា mikrotik ពីរ។ ការដំឡើងស្គ្រីបសម្រាប់ប្តូរទៅឆានែលបម្រុងទុក។ យើងហាមឃាត់ការតភ្ជាប់ដែលមិនជោគជ័យ

> ការកក់ឆានែលនៅលើ Mikrotik ដោយគ្មានស្គ្រីប

មីក្រូធីក។ អ្នកបរាជ័យ។ ផ្ទុកតុល្យភាព

នៅពេលដែលខ្ញុំត្រូវការស្វែងយល់ពីរបៀបធ្វើបរាជ័យ ឬផ្ទុកតុល្យភាព ការមានបណ្តាញពីរ ឬច្រើនទៅកាន់ពិភពលោក ខ្ញុំបានរកឃើញអត្ថបទ និងការណែនាំជាច្រើនដែលពិពណ៌នាអំពីការកំណត់រចនាសម្ព័ន្ធការងារ។ ប៉ុន្តែ​ខ្ញុំ​មិន​អាច​រក​ឃើញ​ការ​ពន្យល់​ស្ទើរតែ​គ្រប់​ទីកន្លែង​នៃ​របៀប​ដែល​អ្វីៗ​ដំណើរការ​ឬ​ការ​ពិពណ៌នា​អំពី​ភាព​ខុស​គ្នា​នោះ​ទេ។ ជម្រើសផ្សេងគ្នា. ខ្ញុំចង់កែតម្រូវភាពអយុត្តិធម៌នេះ ហើយប្រមូលជម្រើសដ៏សាមញ្ញបំផុតសម្រាប់ការសាងសង់ការបរាជ័យ និងការផ្ទុកការកំណត់រចនាសម្ព័ន្ធតុល្យភាពនៅក្នុងអត្ថបទមួយ។

ដូច្នេះ យើង​មាន​រ៉ោតទ័រ​មួយ​ដែល​ភ្ជាប់​បណ្តាញ​មូលដ្ឋាន​របស់​យើង​និង​បណ្តាញ​ពីរ​ទៅ​អ៊ីនធឺណិត (សំខាន់ ISP1 និង ISP2 បម្រុងទុក)។

តោះមើលអ្វីដែលយើងអាចធ្វើ៖

ឥឡូវនេះ យើង​មាន​ឆានែល​បម្រុងទុក​ដែល​ចរាចរណ៍​អាច​ត្រូវ​បាន​ដឹកនាំ​ប្រសិនបើ​បណ្តាញ​សំខាន់​បរាជ័យ។ ប៉ុន្តែតើអ្នកអាចធ្វើឱ្យ mikrotik យល់ថាឆានែលបានធ្លាក់ចុះដោយរបៀបណា?

ការកក់ឆានែលសាមញ្ញបំផុត។

ការបរាជ័យដ៏សាមញ្ញបំផុតអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយប្រើអាទិភាពផ្លូវ (ចម្ងាយសម្រាប់ mikrotik/cisco, ម៉ែត្រសម្រាប់លីនុច/វីនដូ) ក៏ដូចជាយន្តការសម្រាប់ពិនិត្យមើលភាពអាចរកបាននៃច្រកចេញចូល - ច្រកទ្វារត្រួតពិនិត្យ។

នៅក្នុងការកំណត់រចនាសម្ព័ន្ធខាងក្រោម ចរាចរណ៍អ៊ីនធឺណិតទាំងអស់តាមលំនាំដើមឆ្លងកាត់ 10.100.1.254 (ISP1)។ ប៉ុន្តែដរាបណាអាសយដ្ឋាន 10.100.1.254 ក្លាយជាមិនអាចប្រើបាន (ហើយផ្លូវឆ្លងកាត់វាអសកម្ម) ចរាចរណ៍នឹងឆ្លងកាត់ 10.200.1.254 (ISP2) ។

ការកំណត់រចនាសម្ព័ន្ធ៖ ការបរាជ័យសាមញ្ញ


# រៀបចំបណ្តាញអ្នកផ្តល់សេវា៖





### ធានានូវភាពច្របូកច្របល់របស់ប៉ុស្តិ៍ វិធីប្រពៃណី###
# បញ្ជាក់ច្រកផ្លូវលំនាំដើមចំនួន 2 ដែលមានអាទិភាពផ្សេងៗគ្នា
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=10.100.1.254 distance=1 check-gateway=ping
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=10.200.1.254 distance=2 check-gateway=ping

Check-gateway=ping សម្រាប់ mikrotik ត្រូវបានដំណើរការដូចនេះ៖
តាមកាលកំណត់ (រៀងរាល់ 10 វិនាទី) ច្រកចេញចូលត្រូវបានត្រួតពិនិត្យដោយផ្ញើកញ្ចប់ព័ត៌មាន ICMP (ping) ទៅវា។ កញ្ចប់មួយត្រូវបានចាត់ទុកថាបាត់បង់ ប្រសិនបើវាមិនត្រលប់មកវិញក្នុងរយៈពេល 10 វិនាទី។ បន្ទាប់ពីបាត់កញ្ចប់ព័ត៌មានចំនួនពីរ ច្រកផ្លូវត្រូវបានចាត់ទុកថាមិនអាចប្រើបាន។ បន្ទាប់ពីទទួលបានការឆ្លើយតបពីច្រកទ្វារ វាអាចប្រើបាន ហើយបញ្ជរកញ្ចប់ព័ត៌មានដែលបាត់ត្រូវបានកំណត់ឡើងវិញ។

ធានាការបរាជ័យជាមួយនឹងការវិភាគឆានែលកាន់តែស៊ីជម្រៅ។

នៅក្នុងឧទាហរណ៍មុន អ្វីគ្រប់យ៉ាងគឺល្អ លើកលែងតែស្ថានភាពនៅពេលដែលច្រកផ្លូវរបស់អ្នកផ្តល់សេវាអាចមើលឃើញ និងឆ្លើយតប ប៉ុន្តែមិនមានអ៊ីនធឺណិតនៅពីក្រោយវាទេ។ វានឹងជួយយើងច្រើនប្រសិនបើយើងអាចធ្វើការសម្រេចចិត្តអំពីលទ្ធភាពជោគជ័យរបស់អ្នកផ្តល់សេវាដោយ pinging មិនមែនច្រកផ្លូវដោយខ្លួនឯងនោះទេប៉ុន្តែអ្វីមួយដែលនៅពីក្រោយវា។

ខ្ញុំដឹងពីជម្រើសពីរសម្រាប់ការដោះស្រាយបញ្ហាវិស្វកម្មនេះ។ ទីមួយ និងទូទៅបំផុតគឺការប្រើស្គ្រីប ប៉ុន្តែដោយសារយើងមិនប៉ះស្គ្រីបនៅក្នុងអត្ថបទនេះ យើងនឹងនិយាយលម្អិតបន្ថែមទៀតនៅលើទីពីរ។ វាបង្កប់ន័យការប្រើប្រាស់មិនត្រឹមត្រូវទាំងស្រុងនៃប៉ារ៉ាម៉ែត្រវិសាលភាព ប៉ុន្តែវានឹងជួយយើងស៊ើបអង្កេតបណ្តាញអ្នកផ្តល់សេវាឱ្យជ្រៅជាងច្រកផ្លូវ។
គោលការណ៍គឺសាមញ្ញ៖
ជំនួសឱ្យការចង្អុលបង្ហាញបែបប្រពៃណីនៃ default gateway=gateway របស់អ្នកផ្តល់សេវា យើងនឹងប្រាប់ router ថា default gateway គឺជាផ្នែកមួយនៃ always_available_nodes (ឧទាហរណ៍ 8.8.8.8 ឬ 8.8.4.4) ហើយវាអាចចូលដំណើរការបានតាមរយៈ gateway របស់អ្នកផ្តល់សេវា។

ការកំណត់រចនាសម្ព័ន្ធ៖ បរាជ័យជាមួយនឹងការវិភាគឆានែលកាន់តែស៊ីជម្រៅ

# រៀបចំបណ្តាញអ្នកផ្តល់សេវា៖
/ip address បន្ថែមអាសយដ្ឋាន=10.100.1.1/24 interface=ISP1
/ip address បន្ថែមអាសយដ្ឋាន=10.200.1.1/24 interface=ISP2
# រៀបចំចំណុចប្រទាក់មូលដ្ឋាន
/ip address បន្ថែមអាសយដ្ឋាន=10.1.1.1/24 interface=LAN
# លាក់នៅពីក្រោយ NAT អ្វីគ្រប់យ៉ាងដែលចេញមក បណ្តាញក្នុងស្រុក
/ip firewall nat បន្ថែម src-address=10.1.1.0/24 action=masquerade chain=srcnat
### ផ្តល់នូវការបរាជ័យជាមួយនឹងការវិភាគឆានែលកាន់តែស៊ីជម្រៅ###
#ដោយប្រើប៉ារ៉ាម៉ែត្រវិសាលភាព យើងនឹងបញ្ជាក់ផ្លូវដែលកើតឡើងដដែលៗទៅកាន់ថ្នាំង 8.8.8.8 និង 8.8.4.4
/ip route បន្ថែម dst-address=8.8.8.8 gateway=10.100.1.254 វិសាលភាព=10
/ip route បន្ថែម dst-address=8.8.4.4 gateway=10.200.1.254 វិសាលភាព=10
# បញ្ជាក់ច្រកចេញចូលលំនាំដើមចំនួន 2 តាមរយៈថ្នាំងផ្លូវដែលត្រូវបញ្ជាក់ឡើងវិញ
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
/ip route បន្ថែម dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping

ឥឡូវ​យើង​ក្រឡេក​មើល​អ្វី​ដែល​កំពុង​កើត​ឡើង​ដោយ​លម្អិត​បន្តិច​បន្តួច៖
ល្បិចគឺថាច្រកផ្លូវរបស់អ្នកផ្តល់សេវាមិនដឹងថា 8.8.8.8 ឬ 8.8.4.4 គឺជារ៉ោតទ័រទេ ហើយនឹងបញ្ជូនចរាចរតាមផ្លូវធម្មតា។
mikrotik របស់យើងជឿថាតាមលំនាំដើមចរាចរអ៊ីនធឺណិតទាំងអស់គួរតែត្រូវបានផ្ញើទៅ 8.8.8.8 ដែលមិនអាចមើលឃើញដោយផ្ទាល់ ប៉ុន្តែអាចចូលប្រើបានតាមរយៈ 10.100.1.254។ ហើយប្រសិនបើ ping នៅលើ 8.8.8.8 បាត់ (ខ្ញុំសូមរំលឹកអ្នកថាផ្លូវទៅកាន់វាត្រូវបានបញ្ជាក់យ៉ាងតឹងរ៉ឹងតាមរយៈ gateway ពី ISP1) នោះ mikrotik នឹងចាប់ផ្តើមបញ្ជូនចរាចរអ៊ិនធឺណិតទាំងអស់ទៅ 8.8.4.4 ឬផ្ទុយទៅវិញទៅកាន់ 10.200 ដែលបានកំណត់ឡើងវិញ។ .1.254 (ISP2).


បរាជ័យ - ជាភាសារុស្សី នេះគឺជាការកក់បណ្តាញអ៊ីនធឺណេត ដោយប្តូរនៅក្នុងព្រឹត្តិការណ៍នៃការបរាជ័យនៃបណ្តាញអ៊ីនធឺណេតមេ ទៅជាការបម្រុងទុកមួយ។

ដូច្នេះយើងមាន Mikrotik អ្នកផ្តល់សេវាចំនួន 2 ត្រូវបានភ្ជាប់ទៅវា (ISP1 និង ISP2) ហើយបណ្តាញរបស់អ្នក ចាំបាច់ត្រូវប្តូរទៅការបម្រុងទុកដោយស្វ័យប្រវត្តិ នៅពេលដែលបណ្តាញអ៊ីនធឺណិតចម្បងបរាជ័យ។

1. វិធីសាស្រ្ត ការបរាជ័យត្រូវបានធ្វើឡើងដោយផ្លូវ អ្វីដែលអ្នកត្រូវធ្វើគឺចុះឈ្មោះផ្លូវពីរ មួយទៅ ISP1 និងទីពីរទៅ ISP2 ជ្រើសរើស ping ឬ arp នៅក្នុងធាតុ "Check Gateway" ។ តាមគំនិតរបស់ខ្ញុំ ភីងគឺសមរម្យជាងសម្រាប់ករណីភាគច្រើន។ តាមរបៀបដូចគ្នា ចុះឈ្មោះផ្លូវទៅកាន់អ្នកផ្តល់សេវាទីពីរ។ វាងាយស្រួលបំផុតសម្រាប់ខ្ញុំក្នុងការកំណត់រចនាសម្ព័ន្ធ Mikrotik ដោយប្រើ Winbox ផ្លូវត្រូវបានចុះឈ្មោះនៅក្នុងម៉ឺនុយ IP-Routes ។

ប្រសិនបើនៅក្នុងចម្ងាយដែលអ្នកកំណត់ឧទាហរណ៍ 1 ទៅអ្នកផ្តល់សេវាមួយ និង 2 ទៅទីពីរ នោះ Mikrotik នឹងធ្វើឱ្យមានតុល្យភាពដោយស្វ័យប្រវត្តិនៅពេលផ្ទុក។ ផ្ទុកពេញពីអ្នកផ្តល់សេវាទីមួយ សំណើថ្មីនឹងទៅទីពីរ។

វិធីសាស្រ្តនេះមានដែនកំណត់មួយចំនួន៖

- ប្រសិនបើអ្នកផ្តល់សេវាណាមួយផ្តល់ឱ្យអ្នកនូវ IP ថាមវន្ត ហើយការកំណត់មកតាមរយៈ DHCP នោះអ្នកនឹងមិនអាចចុះឈ្មោះផ្លូវដោយបញ្ជាក់ឈ្មោះចំណុចប្រទាក់បានទេ អ្នកនឹងត្រូវបញ្ចូល gateway ip នៅក្នុងវាល "Gateway" ។
— ពេលខ្លះមានស្ថានភាពនៅពេលដែលច្រកផ្លូវរបស់អ្នកផ្តល់សេវាកំពុងដំណើរការ ប៉ុន្តែថ្នាំងនៅពីក្រោយវាមិនអាចប្រើបាន Mikrotik នឹងពិចារណាផ្លូវដែលត្រូវដំណើរការ ការប្តូរនឹងមិនកើតឡើង ហើយអ៊ីនធឺណិតនឹងមិនដំណើរការទេ។

ជម្រើសទី 2 Falover នៅលើ Mikrotik ដោយគ្មានគុណវិបត្តិនៃវិធីសាស្រ្តដំបូង។

Mikrotik មាន Netwatch ដែលភ្ជាប់មកជាមួយ (មានទីតាំងនៅក្នុងម៉ឺនុយឧបករណ៍) ។ សរុបមក ឧបករណ៍ប្រើប្រាស់នេះអនុញ្ញាតឱ្យអ្នក ping ip ណាមួយ ហើយប្រតិបត្តិពាក្យបញ្ជាប្រសិនបើភាពអាចរកបាននៃអាសយដ្ឋាន ip ផ្លាស់ប្តូរ នៅក្នុងការ Up យើងបញ្ចូលពាក្យបញ្ជាដែលត្រូវបានប្រតិបត្តិនៅពេលដែល ip អាចប្រើបានម្តងទៀត ហើយនៅខាងក្រោមយើងបញ្ចូលពាក្យបញ្ជាដែលត្រូវប្រតិបត្តិ។ នៅពេលដែល ip មិនអាចប្រើបាន។

ខ្លឹមសារគឺច្បាស់ពីរូបភាព ចុចបូកពណ៌ខៀវ បញ្ចូល IP ដែលយើងនឹងពិនិត្យមើលដំណើរការរបស់ប៉ុស្តិ៍ ចន្លោះពេលសាកល្បង ខ្ញុំកំណត់វាប្រហែលមួយនាទី តិច ឬច្រើនអាចធ្វើបាន។

បាទ/ចាស ដំបូងអ្នកត្រូវតែកំណត់មតិយោបល់សម្រាប់ផ្លូវ។ វាងាយស្រួលបំផុតសម្រាប់ខ្ញុំក្នុងការដំឡើង Mikrotik តាមរយៈ Winbox ដើម្បីកំណត់សេចក្តីអធិប្បាយសម្រាប់ផ្លូវមួយ ចូលទៅកាន់ IP-Routes បង្អួចនឹងបើកជាមួយនឹងបញ្ជីផ្លូវ ប៊ូតុងសម្រាប់កំណត់មតិយោបល់ត្រូវបានគូសរង្វង់ ជ្រើសរើសផ្លូវដែលចង់បាន។ ចុចលើប៊ូតុង បញ្ចូលមតិយោបល់សម្រាប់ផ្លូវ សូមចុចយល់ព្រម។

រូបភាពបង្ហាញពីស្គ្រីបដំណើរការ ផ្លូវទៅកាន់អ្នកផ្តល់សេវា ISP2 (Utel សម្រាប់ខ្ញុំ) មិនសកម្មទេ វា ប្រផេះហើយផ្លូវទៅកាន់ ISP1 (ខ្ញុំមាន Stels) គឺសកម្ម។ ខាងក្រោមនេះអ្នកអាចឃើញផ្លូវជាមួយការអត្ថាធិប្បាយរបស់ Stels88 នេះគឺចាំបាច់ដើម្បីឱ្យ pings ទៅ 8.8.4.4 ដែលយើងប្រើក្នុងស្គ្រីបគឺបានមកពី ISP1 តែប៉ុណ្ណោះ នេះគឺចាំបាច់ដើម្បីតាមដានដំណើរការរបស់ ISP1 ភីងគឺល្អ ប្រសិនបើមិនមាន ការឆ្លើយតបទៅនឹង pings បន្ទាប់មកអ្នកត្រូវប្តូរទៅ ISP2 ។ របៀបដែលវាត្រូវបានធ្វើអាចមើលឃើញនៅក្នុងរូបភាពខាងក្រោម:

នៅក្នុងផ្នែក UP យើងសរសេរ:

/ip route set disabled=no
/ip route set disabled=yes

នៅក្នុងផ្នែកខាងក្រោមយើងសរសេរ៖

/ip route set disabled=yes
/ip route set disabled=no

ដើម្បីឱ្យគ្រោងការណ៍ដំណើរការបានត្រឹមត្រូវ អ្នកត្រូវអនុញ្ញាតឱ្យ IP នេះ ping តែពី ISP1 សម្រាប់ការនេះ វាត្រូវបានណែនាំឱ្យបន្ថែមច្បាប់ទៅ IP-Firewall ដែលហាមឃាត់ការចូលប្រើ 8.8.4.4 ពី ISP2 ហើយចុះឈ្មោះ។ ផ្លូវឋិតិវន្តទៅ 8.8.4.4 តាមរយៈ ISP1 gateway (in របៀបធម្មតា។វានឹងមិនដំណើរការទេប្រសិនបើ ISP1 ចេញ IP ថាមវន្ត ហើយអ្នកនឹងត្រូវសរសេរស្គ្រីបដែលនឹងកំណត់ IP នៃច្រកចេញចូល និងចុះឈ្មោះផ្លូវ)។

អ្នកឧបត្ថម្ភអត្ថបទ៖

ការបង្រៀន MikroTik - ទ្រឹស្តី និងការអនុវត្តជាទម្រង់វីដេអូ។

នៅក្នុងវគ្គសិក្សាវីដេអូ "" អ្នកនឹងរៀនពីរបៀបកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រពីដំបូងសម្រាប់គោលបំណង ការិយាល័យតូច. វគ្គសិក្សាគឺផ្អែកលើ កម្មវិធីផ្លូវការ MikroTik Certified Network Associate ប៉ុន្តែវាត្រូវបានពង្រីកយ៉ាងខ្លាំង ជាពិសេសទាក់ទងនឹងការពង្រឹងចំណេះដឹងក្នុងការអនុវត្ត។ វគ្គសិក្សារួមមានមេរៀនវីដេអូចំនួន ១៦២ និងមេរៀនចំនួន ៤៥ ការងារមន្ទីរពិសោធន៍, រួមបញ្ចូលគ្នាទៅក្នុង លក្ខខណ្ឌយោង. ប្រសិនបើមានអ្វីមួយមិនច្បាស់លាស់ អ្នកអាចសួរសំណួរទៅកាន់អ្នកនិពន្ធនៃវគ្គសិក្សា។ មេរៀន 25 ដំបូងអាចមើលបានដោយឥតគិតថ្លៃ ទម្រង់បញ្ជាទិញមាននៅ

ពេលខ្លះនៃថ្ងៃ។ នៅថ្ងៃផ្សេងទៀតខ្ញុំបានយល់ច្រឡំអំពីការរៀបចំការអត់ឱនកំហុសនៃ CCR1036-8G-2S+ របស់ខ្ញុំ។ ខ្ញុំបានមើលសម្ភារៈជាច្រើននៅលើអ៊ីនធឺណិត ប៉ុន្តែភាគច្រើនវាមិនសមនឹងខ្ញុំទេ។ ហើយ​បន្ទាប់​មក​ខ្ញុំ​បាន​ជួប​ប្រទះ​នូវ​អ្វី​ដែល​មាន​ប្រយោជន៍​ដែល​ស័ក្តិសម​ទាំង​ស្រុង​សម្រាប់​ការ​ដោះស្រាយ​បញ្ហា​របស់​ខ្ញុំ។ ការដំឡើងខាងក្រោមគឺដំណើរការ 100% ។


យើង​បាន​ពិចារណា​រួច​ហើយ​នូវ​ជម្រើស​នៃ​ការ​តភ្ជាប់​អ្នក​ផ្តល់​សេវា​អ៊ីនធឺណិត​ពីរ​ទៅ​រ៉ោតទ័រ​មួយ​ដែល​គ្រប់គ្រង​ដោយ ប្រព័ន្ធប្រតិបត្តិការ Mikrotik RouterOS ។

ទោះយ៉ាងណាក៏ដោយនេះគឺជាជម្រើសដ៏សាមញ្ញបំផុត។ ដែលប្រហែលជាមិនតែងតែសមរម្យនៅក្នុងលក្ខខណ្ឌជាក់លាក់។ ដូច្នេះហើយ ថ្ងៃនេះ យើងនឹងលើកយកឧទាហរណ៍ជាក់លាក់មួយចំនួននៃការកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រជាមួយនឹងលក្ខខណ្ឌនៃការតភ្ជាប់ទៅកាន់អ្នកផ្តល់សេវាពីរ ហើយនឹងបង្ហាញលម្អិតបន្ថែមទៀតអំពីភាពខុសប្លែកមួយចំនួននៃការកំណត់រចនាសម្ព័ន្ធ Firewall, NAT, ការកំណត់ផ្លូវ និងការផ្ទុកតុល្យភាព ឬការប្រើប្រាស់ទីពីរ។ ឆានែលជាការបម្រុងទុក។

ចំណុចតែមួយគត់គឺថានៅពេលអនាគតយើងនឹងបង្កើតច្បាប់កំណត់ផ្លូវដោយខ្លួនឯង ដូច្នេះនៅពេលបង្កើតការតភ្ជាប់ទៅកាន់អ្នកផ្តល់សេវា អ្នកត្រូវដោះធីកធាតុបន្ថែមផ្លូវលំនាំដើមនៅលើផ្ទាំង Dial Out សម្រាប់ការតភ្ជាប់ PPPoE ។

ណាត

ដើម្បីឱ្យបណ្តាញរបស់យើងដំណើរការបានត្រឹមត្រូវ និងមានសិទ្ធិចូលប្រើអ៊ីនធឺណិត យើងត្រូវកំណត់រចនាសម្ព័ន្ធ NAT ។ ដើម្បីធ្វើដូចនេះបើកផ្នែក IP -> Firewall ចូលទៅកាន់ផ្ទាំង NAT ហើយប្រើប៊ូតុង "+" ដើម្បីបន្ថែមច្បាប់ថ្មី។

នៅលើផ្ទាំងទូទៅ ជ្រើសរើសខ្សែសង្វាក់ Scrnat ។ តម្លៃវាល។ ចំណុចប្រទាក់, ក្នុង ក្នុងករណីនេះយើងទុកវាឱ្យនៅទទេ ដោយសារយើងមានអ្នកផ្តល់សេវាពីរ ហើយតាមនោះ ចំណុចប្រទាក់ 2 ផ្សេងគ្នា។

បន្ទាប់មកនៅលើផ្ទាំងសកម្មភាព ជាប៉ារ៉ាម៉ែត្រសម្រាប់វាលសកម្មភាព កំណត់តម្លៃដើម្បីក្លែងបន្លំ។

រក្សាទុកច្បាប់ដោយប្រើប៊ូតុងយល់ព្រម។ ការដំឡើង NATអាចត្រូវបានចាត់ទុកថាបានបញ្ចប់។

ជញ្ជាំងភ្លើង

ជំហានបន្ទាប់របស់យើងគឺការដំឡើង មុខងារជញ្ជាំងភ្លើងដែលត្រូវបានរចនាឡើងដើម្បីការពារបណ្តាញមូលដ្ឋានរបស់យើង។

តោះទៅផ្ទាំង Filter Rules ដែលយើងត្រូវបង្កើតច្បាប់មូលដ្ឋានមួយចំនួន យោងទៅតាមការអនុម័តកញ្ចប់ព័ត៌មានតាមរយៈ Router របស់យើងនឹងត្រូវបានរៀបចំ។

ប្រសិនបើអ្នកមានច្បាប់ណាមួយនៅក្នុងផ្នែកនេះ អ្នកគួរតែលុបពួកវាជាមុនសិន។

ច្បាប់ថ្មីអាចត្រូវបានបន្ថែមដោយចុចប៊ូតុង "+" បន្ទាប់មកឧទាហរណ៍សម្រាប់ច្បាប់អនុញ្ញាតឱ្យ ping - chain=input protocol=icmp action=accept នៅលើផ្ទាំងទូទៅ យើងជ្រើសរើសខ្សែសង្វាក់-បញ្ចូល ហើយ ពិធីការពិធីការ- អាយ.ស៊ី.ភី.

បន្ទាប់មក នៅលើផ្ទាំងសកម្មភាព សូមជ្រើសរើសទទួលយកជាប៉ារ៉ាម៉ែត្រសម្រាប់វាលសកម្មភាព។

សកម្មភាពនេះត្រូវធ្វើម្តងទៀតប្រហែល 14 ដង សម្រាប់ច្បាប់ចំនួនដប់បួនផ្សេងគ្នា។
អនុញ្ញាតឱ្យ Ping

chain=input protocol=icmp action=ទទួលយក

ខ្សែសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព icmp = ទទួលយក

អនុញ្ញាតឱ្យមានការតភ្ជាប់ដែលបានបង្កើតឡើង

ខ្សែសង្វាក់ = បញ្ចូលការតភ្ជាប់ - រដ្ឋ = សកម្មភាពដែលបានបង្កើតឡើង = ទទួលយក

ខ្សែសង្វាក់ = ឆ្ពោះទៅមុខការតភ្ជាប់ - រដ្ឋ = សកម្មភាពដែលបានបង្កើតឡើង = ទទួលយក

អនុញ្ញាតឱ្យមានការតភ្ជាប់ដែលពាក់ព័ន្ធ I

ខ្សែសង្វាក់ = បញ្ចូលការតភ្ជាប់ - រដ្ឋ = សកម្មភាពពាក់ព័ន្ធ = ទទួលយក

ខ្សែសង្វាក់ = ឆ្ពោះទៅមុខការតភ្ជាប់ - រដ្ឋ = សកម្មភាពពាក់ព័ន្ធ = ទទួលយក

យើងហាមឃាត់ការតភ្ជាប់ដែលមិនជោគជ័យ

Chain=input connection-state=invalid action=drop

chain=forward connection-state=សកម្មភាពមិនត្រឹមត្រូវ=ទម្លាក់

អនុញ្ញាតឱ្យមានការតភ្ជាប់តាមរយៈពិធីការ UDP

ខ្សែសង្វាក់ = ពិធីការបញ្ចូល = សកម្មភាព udp = ទទួលយក

ខ្សែសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព udp = ទទួលយក

យើងបើកការចូលប្រើអ៊ីនធឺណិតសម្រាប់បណ្តាញមូលដ្ឋានរបស់យើង។ សម្រាប់អ្នកដែលមានបុព្វបទបណ្តាញមូលដ្ឋានខុសពី 192.168.0.0/24 សូមដាក់អាសយដ្ឋានរបស់អ្នកជំនួសវិញ។

ខ្សែសង្វាក់=ឆ្ពោះទៅមុខ src-address=192.168.0.0/24 សកម្មភាព=ទទួលយក

យើងអនុញ្ញាតឱ្យចូលប្រើរ៉ោតទ័រតែពីបណ្តាញមូលដ្ឋានដូចខាងលើ - 192.168.0.0/24 គួរតែត្រូវបានជំនួសដោយអាសយដ្ឋានរបស់អ្នក។

ខ្សែសង្វាក់=បញ្ចូល src-address=192.168.0.0/24 សកម្មភាព=ទទួលយក

ហើយនៅទីបញ្ចប់ យើងហាមអ្វីៗផ្សេងទៀត។

ខ្សែសង្វាក់ = សកម្មភាពបញ្ចូល = ទម្លាក់

ខ្សែសង្វាក់ = សកម្មភាពទៅមុខ = ទម្លាក់

វាច្បាស់ណាស់ថាអ្នកគួរតែបើកវិនដូថ្មីរាល់ពេល ហើយបំពេញអ្វីៗគ្រប់យ៉ាង វាលដែលត្រូវការនេះគឺជាការធុញទ្រាន់ណាស់ ដូច្នេះខ្ញុំសូមណែនាំឱ្យបើក New Terminal ហើយបញ្ចូលពាក្យបញ្ជាដែលបានរាយខាងក្រោមម្តងមួយៗ។ វានឹងចំណាយពេលតិចជាងច្រើន។

ip firewall filter add chain=input protocol=icmp action=accept

តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព icmp = ទទួលយក

ip firewall filter add chain=input connection-state=establied action=accept

ip firewall filter add chain=forward connection-state=establied action=accept

ip firewall filter add chain=input connection-state=related action=ទទួលយក

ip firewall filter add chain=forward connection-state=related action=ទទួលយក

ip firewall filter add chain=input connection-state=invalid action=drop

ip firewall filter add chain=forward connection-state=invalid action=drop

ip firewall filter add chain=input protocol=udp action=accept

តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = ពិធីការទៅមុខ = សកម្មភាព udp = ទទួលយក

ip firewall filter add chain=forward src-address=192.168.0.0/24 action=ទទួល

ip firewall filter add chain=បញ្ចូល src-address=192.168.0.0/24 action=accept

តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = សកម្មភាពបញ្ចូល = ទម្លាក់

តម្រងជញ្ជាំងភ្លើង ip បន្ថែមសង្វាក់ = សកម្មភាពទៅមុខ = ទម្លាក់

ប៉ុន្តែ​មិន​ថា​យើង​ធ្វើ​វា​តាម​វិធី​ណា​នោះ​ទេ នៅ​ទី​បំផុត​យើង​គួរ​តែ​ទទួល​បាន​វិធី​ខាង​ក្រោម។

ការនាំផ្លូវ
ជំហានចុងក្រោយ ប៉ុន្តែជាជំហានដ៏សំខាន់បំផុតមួយ គឺការបង្កើតផ្លូវ។ ចូរចាប់ផ្តើមដោយការសម្គាល់ការតភ្ជាប់របស់យើងទៅកាន់អ្នកផ្តល់សេវា។ នេះគឺចាំបាច់ដើម្បីឱ្យសំណើទាំងអស់ដែលចូលមកចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាជាក់លាក់មួយទៅកាន់ចំណុចប្រទាក់របស់វា។ នេះពិតជាមានសារៈសំខាន់ណាស់ ប្រសិនបើយើងមាននៅពីក្រោយ NAT មានធនធានដែលត្រូវការចូលប្រើប្រាស់ បណ្តាញសកលអ៊ីនធឺណិត។ ឧទាហរណ៍ ម៉ាស៊ីនមេគេហទំព័រ ឬម៉ាស៊ីនមេសំបុត្រ។ល។ យើងបានពិភាក្សារួចហើយអំពីរបៀបរៀបចំប្រតិបត្តិការនៃសេវាកម្មបែបនេះនៅក្នុងអត្ថបទ ការកំណត់កម្រិតខ្ពស់ Mikrotik RouterOS: ការបញ្ជូនបន្តច្រក - dstna t.

ដើម្បីធ្វើដូចនេះយើងត្រូវបង្កើតច្បាប់ពីរដាច់ដោយឡែកសម្រាប់អ្នកផ្តល់សេវានីមួយៗនៅក្នុង IP -> ផ្នែក Firewall នៅលើផ្ទាំង Manngle ។

នៅលើផ្ទាំងទូទៅ ជ្រើសរើសខ្សែសង្វាក់បន្តបន្ទាប់ ហើយជា In.Interface ជ្រើសរើសចំណុចប្រទាក់ PPPoE សម្រាប់ភ្ជាប់ ISP1 អ្នកផ្តល់សេវាទីមួយ។

ហើយនៅលើផ្ទាំងសកម្មភាព ជាប៉ារ៉ាម៉ែត្រសកម្មភាព ជ្រើសរើសការភ្ជាប់សញ្ញា ហើយនៅក្នុងវាល សញ្ញាការតភ្ជាប់ថ្មី ដែលលេចឡើងខាងក្រោម បញ្ចូលឈ្មោះសញ្ញាសម្រាប់ការតភ្ជាប់នេះ ឧទាហរណ៍ ISP1-con ។

យើងធ្វើរឿងដដែលនេះម្តងទៀតសម្រាប់អ្នកផ្តល់សេវាទីពីរ។ ជ្រើសរើសតែ ISP2 ជា In.Interface ហើយក្នុងប្រអប់ New Connection Mark បញ្ចូលសញ្ញាសម្គាល់សម្រាប់ការតភ្ជាប់ទីពីរ ISP2-con ។

ឥឡូវនេះ ដើម្បីផ្ញើការឆ្លើយតបទៅនឹងសំណើចូលតាមរយៈចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាដូចគ្នា យើងត្រូវបង្កើតច្បាប់ចំនួន 2 បន្ថែមទៀតដែលនឹងសម្គាល់ផ្លូវ។

នៅទីនេះ យើងបង្កើតច្បាប់ថ្មីមួយដែលយើងជ្រើសរើសតម្លៃ prerouting ជាខ្សែសង្វាក់ បញ្ចូលបុព្វបទនៃបណ្តាញមូលដ្ឋានរបស់យើង 192.168.0.0/24 នៅក្នុងវាល Scr.Address ហើយជ្រើសរើសសញ្ញាតភ្ជាប់របស់អ្នកផ្តល់សេវាទីមួយរបស់យើង ISP1-con នៅក្នុង Cjnnection Mark ។

ចូលទៅកាន់ផ្ទាំងសកម្មភាព និងក្នុងវាលសកម្មភាព ជ្រើសរើសការសម្គាល់ផ្លូវ ហើយនៅក្នុងវាលសម្គាល់ផ្លូវថ្មីដែលលេចឡើងខាងក្រោម កំណត់សញ្ញាសម្គាល់សម្រាប់ផ្លូវរបស់អ្នកផ្តល់សេវានេះ ឧទាហរណ៍ ISP1-rt ។

យើងបង្កើតគោលការណ៍ដូចគ្នាសម្រាប់ការតភ្ជាប់ទីពីរ។ អាស្រ័យហេតុនេះ មានតែជ្រើសរើស ISP2-con ជា Connection Mark ហើយបញ្ចូល ISP2-rt ជា New Routing Mark។

ហើយឥឡូវនេះ ប្រសិនបើយើងមានធនធានណាមួយដែលត្រូវចូលប្រើទាំងស្រុងតាមរយៈចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាជាក់លាក់មួយ យើងត្រូវបង្កើតបញ្ជីធនធានទាំងនេះ ហើយសម្គាល់ការតភ្ជាប់ទាំងអស់ជាមួយអាសយដ្ឋានពីបញ្ជីនេះសម្រាប់ការកំណត់ផ្លូវត្រឹមត្រូវបន្ថែមទៀត។

ឧទាហរណ៍ អ្នកផ្តល់សេវាលេខ 2 - ISP2 - មានធនធានក្នុងស្រុកដែលមានជួរអាសយដ្ឋាន 181.132.84.0/22 ​​។ ហើយតាមរយៈអ្នកផ្តល់សេវាលេខ 1, ping ទៅ ម៉ាស៊ីនមេហ្គេម ហ្គេមអនឡាញ, តិច។ ហើយយើងដឹងថាអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេទាំងនេះគឺ 90.231.6.37 និង 142.0.93.168 ។

ចូលទៅកាន់ផ្ទាំង បញ្ជីអាសយដ្ឋាននៃ IP -> ផ្នែកជញ្ជាំងភ្លើង។ ហើយម្តងមួយៗ យើងបន្ថែមអាសយដ្ឋាន IP ឬបណ្តាញរងទាំងនេះ ដោយដាក់ឈ្មោះទៅ-ISP1 ឬទៅ-ISP2 អាស្រ័យលើអ្នកផ្តល់សេវាណាដែលធនធានទាំងនេះគួរតែត្រូវបានចូលប្រើ។

ហើយចាប់តាំងពីអ្នកផ្តល់សេវាភាគច្រើនប្រើរបស់ពួកគេ។ ម៉ាស៊ីនមេ DNSការចូលប្រើដែលជារឿយៗត្រូវបានហាមឃាត់ពីបណ្តាញផ្សេងទៀត បន្ទាប់មកវានឹងមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការបន្ថែមអាសយដ្ឋានរបស់ម៉ាស៊ីនមេ DNS របស់អ្នកផ្តល់សេវានីមួយៗទៅក្នុងបញ្ជីទាំងនេះ ដូច្នេះសំណើឈ្មោះដែនទៅកាន់ពួកគេតាមរយៈចំណុចប្រទាក់របស់អ្នកផ្តល់សេវាជាក់លាក់។

ហើយនៅលើផ្ទាំងសកម្មភាព សកម្មភាព - សម្គាល់ផ្លូវ សញ្ញាកំណត់ផ្លូវថ្មី - ISP1-rt ។

យើងនិយាយដដែលៗអំពីបញ្ជីអាសយដ្ឋានរបស់អ្នកផ្តល់សេវាទីពីរ។ ប៉ុន្តែយោងទៅតាម Dst.Address List យើងបង្ហាញបញ្ជីអាសយដ្ឋានសម្រាប់អ្នកផ្តល់សេវាទីពីរទៅ-ISP2។ ហើយជាស្លាកសម្រាប់ផ្លូវ New Routing Mark - ISP2-rt។

ហើយសូមបន្តទៅផ្នែកមូលដ្ឋានបំផុតនៃការដំឡើង routing - ការបង្កើត static routing rules នៅក្នុង IP -> Routes section។

ប្រសិនបើបណ្តាញរបស់អ្នកផ្តល់សេវាទាំងពីររបស់យើងស្ទើរតែស្មើគ្នា នោះយើងបន្ថែមផ្លូវដូចខាងក្រោម៖ នៅក្នុងផ្ទាំងទូទៅនៃបង្អួចបង្កើតផ្លូវសម្រាប់ Dst.Address យើងសរសេរ 0.0.0.0/0 ហើយជា Getway យើងជ្រើសរើសចំណុចប្រទាក់របស់អ្នកផ្តល់សេវារបស់យើង ISP1 និង ISP2 ។ ប៉ារ៉ាម៉ែត្រផ្សេងទៀតទាំងអស់ត្រូវបានទុកចោល។

នៅក្នុងជម្រើសនេះ បន្ទុកលើអ្នកផ្តល់សេវាទាំងពីរនឹងត្រូវបានចែកចាយស្មើៗគ្នា។

ប្រសិនបើយើងចង់ធ្វើឱ្យប្រាកដថាអ្នកផ្តល់សេវាទីពីររបស់យើងគឺជាការបម្រុងទុក ហើយ "បើក" លុះត្រាតែអ្នកផ្តល់សេវាទីមួយមិនអាចប្រើបាន ឬផ្ទុកច្រើន នោះយើងបង្កើតផ្លូវពីរ។

Dst.Address ដំបូងគឺ 0.0.0.0/0, Gateway គឺ ISP1។

ហើយ Dst.Address ទីពីរគឺ 0.0.0.0/0, Gateway គឺ ISP2, ចម្ងាយគឺ 2។

និងនៅឡើយទេ វាចាំបាច់ក្នុងការបង្កើតផ្លូវពីរដាច់ដោយឡែកសម្រាប់អ្នកផ្តល់សេវានីមួយៗ ដែលផ្លូវដែលយើងបានសម្គាល់ពីមុននឹងទៅ។ ពួកវានឹងខុសគ្នាត្រង់ថា វាលសម្គាល់ផ្លូវនឹងបង្ហាញសញ្ញាសម្គាល់ដែលយើងបានកំណត់ពីមុនសម្រាប់អ្នកផ្តល់សេវាមួយ ឬផ្សេងទៀត។

ទីមួយនឹងមាន Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt, និងទីពីរ រៀងគ្នា Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt


ឥឡូវនេះ ធ្វើការជាមួយអ្នកផ្តល់សេវាពីរត្រូវបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ។ ការភ្ជាប់ចូលទាំងអស់ត្រូវបានសម្គាល់ ហើយការឆ្លើយតបចំពោះពួកវាត្រូវបានផ្ញើតាមរយៈចំណុចប្រទាក់ដែលសំណើបានមក។ ការហៅទៅកាន់ធនធានជាក់លាក់ត្រូវបានចែកចាយ ហើយបន្ទុកនៅលើបណ្តាញទាំងពីរមានតុល្យភាព។

អត្ថបទនេះពិពណ៌នាច្រើនបំផុត ការណែនាំពេញលេញរបៀបកំណត់រ៉ោតទ័រ MikroTik សម្រាប់អ្នកផ្តល់សេវាពីរ។

ការតភ្ជាប់ក្នុងពេលដំណាលគ្នាជាមួយអ្នកផ្តល់អ៊ីនធឺណិតពីរត្រូវបានប្រើដើម្បីរៀបចំបណ្តាញទំនាក់ទំនងបម្រុងទុកក្នុងករណី ការតភ្ជាប់នឹងបាត់បង់ជាមួយអ្នកផ្តល់សេវាមួយ។ ក្នុងករណីនេះ រ៉ោតទ័រនឹងប្តូរដោយស្វ័យប្រវត្តិទៅអ្នកផ្តល់សេវាទីពីរ ហើយអ្នកអាចបន្តប្រើប្រាស់អ៊ីនធឺណិតបាន។ ការភ្ជាប់ទៅអ្នកផ្តល់សេវាពីរគឺត្រូវបានប្រើប្រាស់នៅក្នុងអង្គការដែលចាំបាច់ត្រូវផ្តល់ ការចូលប្រើជាអចិន្ត្រៃយ៍បុគ្គលិកទៅអ៊ីនធឺណិត។

ដើម្បីធានាបាននូវបណ្តាញអ៊ីនធឺណែតដែលមិនអត់ឱនចំពោះកំហុស អ្នកនឹងត្រូវការរ៉ោតទ័រដែលគាំទ្រការកំណត់រចនាសម្ព័ន្ធសម្រាប់អ្នកផ្តល់សេវាច្រើន។ រ៉ោតទ័រ មីក្រូធីកគឺល្អឥតខ្ចោះសម្រាប់កិច្ចការនេះ។

ការពិពណ៌នាអំពីការតភ្ជាប់

ក្នុងឧទាហរណ៍យើងនឹងប្រើរ៉ោតទ័រ MikroTik RB951Ui-2HnD.

ខ្សែពីអ្នកផ្តល់សេវាទី 1 ត្រូវបានភ្ជាប់ទៅច្រកទី 1 នៃរ៉ោតទ័រ ខ្សែពីអ្នកផ្តល់សេវាទី 2 ត្រូវបានភ្ជាប់ទៅច្រកទី 2 ច្រកទី 3-5 និង Wi-Fi ត្រូវបានប្រើដើម្បីភ្ជាប់កុំព្យូទ័របណ្តាញមូលដ្ឋាន។

ច្រកទី 1 នឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទទួលការកំណត់បណ្តាញដោយថាមវន្តពីអ្នកផ្តល់សេវាតាមរយៈ DHCP ។ អ្នកផ្តល់សេវាចេញទៅកាន់រ៉ោតទ័រ អាសយដ្ឋាន IP ថាមវន្ត 10.10.10.10

ច្រកទី 2 នឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយដៃ អាសយដ្ឋាន IP ឋិតិវន្ត 20.20.20.20, ច្រកទ្វារ 20.20.20.1 និងរបាំង 255.255.255.0

កំណត់ការកំណត់ឡើងវិញទៅលំនាំដើម

ដោយប្រើកម្មវិធី Winbox យើងកំណត់ការកំណត់លំនាំដើមរបស់រោងចក្រឡើងវិញដើម្បីកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ MikroTik សម្រាប់អ្នកផ្តល់សេវាពីរពីដំបូង៖


បន្ទាប់ពីចាប់ផ្តើមឡើងវិញទៅក្នុង Winbox សូមជ្រើសរើសពីបញ្ជី អាសយដ្ឋាន MACឧបករណ៍ និងភ្ជាប់ជាមួយអ្នកប្រើប្រាស់ អ្នកគ្រប់គ្រងដោយគ្មានពាក្យសម្ងាត់។

ការដំឡើងច្រក WAN ទី 1

យើងកំណត់រចនាសម្ព័ន្ធច្រកទី 1 ដើម្បីទទួលការកំណត់បណ្តាញដោយថាមវន្តពីអ្នកផ្តល់សេវាតាមរយៈ DHCP ។

  1. បើកម៉ឺនុយ IP - អតិថិជន DHCP;
  2. នៅក្នុងបង្អួចដែលលេចឡើងក្នុងបញ្ជី ចំណុចប្រទាក់ជ្រើសរើសចំណុចប្រទាក់ អេធើរ1;
  3. បន្ថែមផ្លូវលំនាំដើមជ្រើសរើស ទេ;
  4. ចុចប៊ូតុង យល់ព្រម.

ឥឡូវនេះយើងបានទទួលអាសយដ្ឋាន IP ពីអ្នកផ្តល់សេវាដែលត្រូវបានបង្ហាញនៅក្នុងជួរឈរ អាសយដ្ឋាន IP.

សូមពិនិត្យមើលថាមានការភ្ជាប់អ៊ីនធឺណិត។ បើកម៉ឺនុយ ស្ថានីយថ្មី។ហើយបញ្ចូលពាក្យបញ្ជា ping ya.ru. ដូចដែលអ្នកអាចឃើញមាន ping ។

ការដំឡើងច្រក WAN ទី 2

យើងកំណត់រចនាសម្ព័ន្ធច្រកទី 2 ជាមួយនឹងអាសយដ្ឋាន IP ឋិតិវន្ត 20.20.20.20 ច្រកទ្វារ 20.20.20.1 និងរបាំង 255.255.255.0

  1. បើកម៉ឺនុយ អាសយដ្ឋាន IP;
  2. ចុចប៊ូតុងបន្ថែម (ឈើឆ្កាងពណ៌ខៀវ);
  3. នៅក្នុងបង្អួចដែលលេចឡើង, នៅក្នុងវាល អាស័យដ្ឋានបញ្ចូលអាសយដ្ឋាន IP ឋិតិវន្ត / របាំងបណ្តាញរង 20.20.20.20/24 ;
  4. នៅក្នុងបញ្ជី ចំណុចប្រទាក់ជ្រើសរើសចំណុចប្រទាក់ អេធើរ ២;
  5. ចុចប៊ូតុង យល់ព្រម.

កំណត់អាសយដ្ឋាន IP នៃច្រកចេញចូលអ៊ីនធឺណិត៖

  1. បើកម៉ឺនុយ អាយភី - ផ្លូវ;
  2. ចុចប៊ូតុងបន្ថែម (ឈើឆ្កាងពណ៌ខៀវ);
  3. នៅក្នុងបង្អួចដែលលេចឡើង, នៅក្នុងវាល ច្រកផ្លូវបញ្ចូលអាសយដ្ឋាន IP ច្រកចេញចូល 20.20.20.1 ;
  4. ចុចប៊ូតុង យល់ព្រម.

តោះបន្ថែម IP អាសយដ្ឋាន DNSម៉ាស៊ីនមេ៖

  1. បើកម៉ឺនុយ អាយភី -DNS;
  2. នៅក្នុងវាល ម៉ាស៊ីនមេឧទាហរណ៍បញ្ចូលអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ DNS 8.8.8.8 ;
  3. ដោះធីក អនុញ្ញាតការស្នើសុំពីចម្ងាយ;
  4. ចុចប៊ូតុង យល់ព្រម.

សូមពិនិត្យមើលថាមានការភ្ជាប់អ៊ីនធឺណិត។ ផ្តាច់ខ្សែពីអ្នកផ្តល់សេវាដំបូងបើកម៉ឺនុយ ស្ថានីយថ្មី។ហើយបញ្ចូលពាក្យបញ្ជា ping ya.ru.

Pings នឹងមកដល់ ដែលមានន័យថា អ្វីៗត្រូវបានតំឡើងយ៉ាងត្រឹមត្រូវ។ អ្នកអាចភ្ជាប់ខ្សែរបស់អ្នកផ្តល់សេវាទីមួយត្រឡប់មកវិញ។

ការដំឡើងច្រក LAN 3-5 និង Wi-Fi

ច្រក LAN 3-5 នឹងត្រូវបានរួមបញ្ចូលជាមួយចំណុចប្រទាក់ Wi-Fi ទៅក្នុងបណ្តាញមូលដ្ឋានតែមួយដែលកុំព្យូទ័រនឹងភ្ជាប់។

យើងបញ្ចូលច្រក LAN 3-5 ចូលទៅក្នុងកុងតាក់មួយ។

  1. បើកម៉ឺនុយ ចំណុចប្រទាក់;
  2. ធ្វើ ចុចពីរដងកណ្តុរនៅលើចំណុចប្រទាក់ អេធើរ 4;
  3. នៅក្នុងបញ្ជី ច្រកមេជ្រើសរើស អេធើរ ៣(ច្រកសំខាន់នៃកុងតាក់របស់យើង);
  4. ចុចប៊ូតុង យល់ព្រម.

ធ្វើដូចគ្នាម្តងទៀតសម្រាប់ចំណុចប្រទាក់ អេធើរ ៥.

អក្សរ S (Slave) នឹងបង្ហាញទល់មុខច្រក ether4 និង ether5។

ការបង្កើតចំណុចប្រទាក់ ស្ពាន - ក្នុងស្រុកហើយបញ្ចូលគ្នានូវច្រក LAN និង Wi-Fi នៅក្នុងវា។

ដើម្បីបញ្ចូលគ្នានូវច្រក LAN 3-5 ជាមួយ Wi-Fi ទៅក្នុងបណ្តាញតែមួយ អ្នកត្រូវបង្កើត ចំណុចប្រទាក់ស្ពានហើយបន្ថែមច្រកមេនៃកុងតាក់ទៅវា។ អេធើរ ៣និងចំណុចប្រទាក់ Wi-Fi wlan1.

ការបង្កើតចំណុចប្រទាក់ ស្ពាន - ក្នុងស្រុក:

  1. បើកម៉ឺនុយ ស្ពាន;
  2. ចុចប៊ូតុង បន្ថែម(ឈើឆ្កាងពណ៌ខៀវ);
  3. នៅក្នុងវាល ឈ្មោះបញ្ចូលឈ្មោះចំណុចប្រទាក់ ស្ពាន - ក្នុងស្រុក;
  4. ចុចប៊ូតុង យល់ព្រម.

ការបន្ថែមច្រកសំខាន់នៃកុងតាក់ អេធើរ ៣ស្ពាន - ក្នុងស្រុក:

  1. ចូលទៅកាន់ផ្ទាំង ច្រកហើយចុចប៊ូតុង បន្ថែម(ឈើឆ្កាងពណ៌ខៀវ);
  2. នៅក្នុងបញ្ជី ចំណុចប្រទាក់ជ្រើសរើសមេ ច្រកអ៊ីសឺរណិតប្តូរ អេធើរ ៣;
  3. នៅក្នុងបញ្ជី ស្ពានជ្រើសរើសចំណុចប្រទាក់ ស្ពាន - ក្នុងស្រុក;
  4. ចុចប៊ូតុង យល់ព្រម.

បន្ថែម វ៉ាយហ្វាយចំណុចប្រទាក់នៅក្នុង ស្ពាន - ក្នុងស្រុក:

  1. នៅលើផ្ទាំង ច្រកចុចប៊ូតុង បន្ថែម(ឈើឆ្កាងពណ៌ខៀវ);
  2. នៅក្នុងបញ្ជី ចំណុចប្រទាក់ជ្រើសរើស ចំណុចប្រទាក់ឥតខ្សែwlan1;
  3. នៅក្នុងបញ្ជី ស្ពានជ្រើសរើសចំណុចប្រទាក់ ស្ពាន - ក្នុងស្រុក;
  4. ចុចប៊ូតុង យល់ព្រម.

កំណត់អាសយដ្ឋាន IP ទៅចំណុចប្រទាក់ ស្ពាន - ក្នុងស្រុក:

  1. បើកម៉ឺនុយ IP -អាស័យដ្ឋាន;
  2. ចុចប៊ូតុង បន្ថែម(ឈើឆ្កាងពណ៌ខៀវ);
  3. នៅក្នុងវាល អាស័យដ្ឋានបញ្ចូលអាសយដ្ឋាន IP និងរបាំងបណ្តាញមូលដ្ឋាន 192.168.88.1/24 ;
  4. នៅក្នុងបញ្ជី ចំណុចប្រទាក់ជ្រើសរើសចំណុចប្រទាក់ LAN ស្ពាន - ក្នុងស្រុក;
  5. ចុចប៊ូតុង យល់ព្រម.

ការកំណត់វា។ ម៉ាស៊ីនមេ DHCPបណ្តាញក្នុងស្រុក។

ដូច្នេះកុំព្យូទ័រដែលភ្ជាប់ទៅរ៉ោតទ័រទទួល ការកំណត់បណ្តាញកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ DHCP ដោយស្វ័យប្រវត្តិ៖


ការដំឡើង Wi-Fi

ដំបូង​យើង​បើក Wi-Fi៖

  1. បើកម៉ឺនុយ ឥតខ្សែ;
  2. ចុចកណ្ដុរស្ដាំលើចំណុចប្រទាក់ wlan1ហើយចុចប៊ូតុង បើក(សញ្ញាពណ៌ខៀវ) ។

បង្កើតពាក្យសម្ងាត់ដើម្បីភ្ជាប់ទៅកាន់ចំណុចចូលប្រើ MikroTik៖

  1. បើកផ្ទាំង ទម្រង់សុវត្ថិភាពហើយចុចពីរដងដោយប្រើប៊ូតុងកណ្ដុរខាងឆ្វេងនៅលើ លំនាំដើម;
  2. នៅក្នុងបង្អួចដែលលេចឡើងក្នុងបញ្ជី របៀបជ្រើសរើស គ្រាប់ចុចថាមវន្ត;
  3. ធីកប្រអប់នៅជាប់នឹងការចុះឈ្មោះពិធីការ WPA2PSK;
  4. នៅក្នុងវាល WPA2 កូនសោដែលបានចែករំលែកជាមុនបញ្ចូលពាក្យសម្ងាត់ដើម្បីភ្ជាប់ទៅចំណុច Wi-Fi;
  5. ចុចប៊ូតុង យល់ព្រម.

ការកំណត់វា។ ការកំណត់ Wi-Fiចំណុច MikroTik៖

  1. បើកផ្ទាំង ចំណុចប្រទាក់ហើយចុចពីរដងដោយប្រើប៊ូតុងកណ្ដុរខាងឆ្វេងនៅលើ ចំណុចប្រទាក់ Wi-Fi wlan1ដើម្បីចូលទៅកាន់ការកំណត់របស់វា;
  2. ចូលទៅកាន់ផ្ទាំង ឥតខ្សែ;
  3. នៅក្នុងបញ្ជី របៀបជ្រើសរើសរបៀបប្រតិបត្តិការ ស្ពាន ap;
  4. នៅក្នុងបញ្ជី ក្រុមតន្រ្តីជ្រើសរើស 2GHz-B/G/N(តើចំណុច Wi-Fi នឹងដំណើរការក្នុងស្តង់ដារអ្វីខ្លះ);
  5. នៅក្នុងបញ្ជី ទទឹងឆានែលបញ្ជាក់ទទឹងឆានែល 20/40Mhz HT ខាងលើ, ទៅ ឧបករណ៍ឥតខ្សែអាចភ្ជាប់ទៅ ល្បឿនអតិបរមាជាមួយនឹងទទឹងឆានែល 40 MHz;
  6. នៅក្នុងបញ្ជី ប្រេកង់បង្ហាញនៅប្រេកង់ណាដែល Wi-Fi នឹងដំណើរការ;
  7. នៅក្នុងវាល SSIDសូមបញ្ជាក់ ឈ្មោះ Wi-Fiបណ្តាញ;
  8. ចុចប៊ូតុង យល់ព្រម.

ការដំឡើង NAT

ដើម្បីឱ្យកុំព្យូទ័រអាចចូលប្រើអ៊ីនធឺណិតបាន NAT ត្រូវតែកំណត់រចនាសម្ព័ន្ធ។

បន្ថែមច្បាប់ NAT សម្រាប់អ្នកផ្តល់សេវាដំបូង៖


បន្ថែមច្បាប់ NAT សម្រាប់អ្នកផ្តល់សេវាទីពីរ៖


ឥឡូវនេះអ៊ីនធឺណិតគួរតែលេចឡើងនៅលើកុំព្យូទ័រដែលភ្ជាប់ទៅរ៉ោតទ័រ។ សូមពិនិត្យមើលវាចេញ។

ការដំឡើងការប្តូរបណ្តាញអ៊ីនធឺណិតរវាងអ្នកផ្តល់សេវាពីរ

ដើម្បីកំណត់រចនាសម្ព័ន្ធការប្តូរឆានែលអ៊ីនធឺណិតរវាងអ្នកផ្តល់សេវាពីរ យើងនឹងប្រើ ផ្លូវ(ផ្លូវ) និងឧបករណ៍ប្រើប្រាស់ដែលមានស្រាប់ Netwatch.

យើងនឹងមានផ្លូវពីរដែលចរាចរតាមអ៊ីនធឺណិតអាចទៅបាន។ ចរាចរណ៍ទាំងអស់នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 1 តាមលំនាំដើម។

ប្រសិនបើភ្លាមៗការតភ្ជាប់ជាមួយអ្នកផ្តល់សេវាទី 1 ត្រូវបានបាត់បង់ នោះយើងធ្វើឱ្យផ្លូវទី 2 ដំណើរការ ហើយចរាចរណ៍ទាំងអស់នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 2 ។

ដរាបណាការតភ្ជាប់តាមរយៈអ្នកផ្តល់សេវាទី 1 ត្រូវបានស្ដារឡើងវិញ យើងបិទដំណើរការផ្លូវទី 2 ហើយចរាចរណ៍ទាំងអស់នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 1 ។

ឧបករណ៍ប្រើប្រាស់ Netwatch នឹងជួយអ្នកក្នុងការ ping អាសយដ្ឋាន IP នៅលើអ៊ីនធឺណិត និងដំណើរការស្គ្រីប ប្រសិនបើអាសយដ្ឋាន IP បានឈប់ ping ឬចាប់ផ្តើម ping ម្តងទៀត។ វានឹងអនុវត្តការធ្វើឱ្យសកម្ម និងការបិទផ្លូវ។

ដំបូង យើងលុបផ្លូវតាមរយៈអ្នកផ្តល់សេវាទីមួយ ដែលត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ ដោយសារយើងមិនអាចកែសម្រួលលក្ខណៈសម្បត្តិរបស់វាបានទេ។

  1. បើកម៉ឺនុយ IP - ផ្លូវ;
  2. ចុចកណ្ដុរឆ្វេងលើផ្លូវរបស់អ្នកផ្តល់សេវាទីមួយដែលមានច្រកចេញចូល 10.10.10.1 មិនអាចដកវិញបានទេ។;
  3. ចុចប៊ូតុងលុប (ដកពណ៌ក្រហម) ។

ឥឡូវនេះ ចូរយើងផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រផ្លូវរបស់អ្នកផ្តល់សេវាទីពីរ៖


  1. បើកម៉ឺនុយ IP - អតិថិជន DHCP;
  2. ចុចពីរដងលើប៊ូតុងកណ្ដុរខាងឆ្វេងលើចំណុចប្រទាក់ អេធើរ1;
  3. ចូលទៅកាន់ផ្ទាំង ស្ថានភាព;
  4. សរសេរអាសយដ្ឋាន IP ច្រកផ្លូវចេញពីវាល ច្រកផ្លូវ. វានឹងត្រូវការនៅពេលបង្កើតផ្លូវតាមរយៈអ្នកផ្តល់សេវាដំបូង។

ឥឡូវនេះបន្ថែមផ្លូវតាមរយៈអ្នកផ្តល់សេវាទីមួយ៖


ផ្លូវទី 3 នឹងត្រូវការជាចាំបាច់ ដូច្នេះម៉ាស៊ីនមេ Google តាមលំនាំដើម pings តែតាមរយៈអ្នកផ្តល់សេវាទី 1 ប៉ុណ្ណោះ។


យើងក៏នឹងបន្ថែមទៅ ច្បាប់ជញ្ជាំងភ្លើងដែលនឹងហាមឃាត់ការបញ្ចូលអាសយដ្ឋាន IP 8.8.4.4 តាមរយៈអ្នកផ្តល់សេវាទី 2 ។ បើមិនដូច្នេះទេ ឧបករណ៍ប្រើប្រាស់ Netwatch នឹងគិតថាការតភ្ជាប់ជាមួយអ្នកផ្តល់សេវាទីមួយត្រូវបានស្ដារឡើងវិញ ហើយនឹងប្តូរផ្លូវជាបន្តបន្ទាប់ជារង្វង់។


Netwatch នឹងពិនិត្យមើលការតភ្ជាប់ទៅអ៊ីនធឺណិតដោយ pinging ម៉ាស៊ីនមេ Googleជាមួយអាសយដ្ឋាន IP 8.8.4.4 ។ ដរាបណាម៉ាស៊ីនមេឈប់ ping ស្គ្រីបនឹងត្រូវបានប្រតិបត្តិដែលដំណើរការផ្លូវទី 2 ហើយចរាចរណ៍នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 2 ។ ដរាបណាការតភ្ជាប់តាមរយៈអ្នកផ្តល់សេវាទី 1 ត្រូវបានស្តារឡើងវិញ ស្គ្រីបមួយទៀតនឹងត្រូវបានប្រតិបត្តិ ដែលនឹងធ្វើឱ្យផ្លូវទី 2 ដំណើរការ ហើយចរាចរណ៍នឹងឆ្លងកាត់អ្នកផ្តល់សេវាទី 1 ។


កំពុងពិនិត្យមើលការផ្លាស់ប្តូរអ៊ីនធឺណិតរវាងអ្នកផ្តល់សេវាពីរ

តោះពិនិត្យមើលរបៀបដែលការប្តូររវាងអ្នកផ្តល់សេវាពីរដំណើរការ។


ការកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ MikroTik សម្រាប់អ្នកផ្តល់សេវាពីរដំណើរការបានត្រឹមត្រូវ។ ឥឡូវនេះ អ្នកអាចបង្កើនចន្លោះពេល ping ម៉ាស៊ីនមេ Google ។


វាបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ Mikrotik សម្រាប់អ្នកផ្តល់សេវាពីរ។



អត្ថបទដែលទាក់ទង