ในฟอรั่มการแจกจ่าย ผู้ใช้ภายใต้ชื่อเล่น บาร์วินอกเริ่มเขียน
ชุดบทความที่พยายามรวบรวมและจัดระบบฐานข้อมูลที่สะสม
ความรู้เกี่ยวกับ Mikrotik โดยทั่วไปและในหัวข้อของผู้ให้บริการสองรายโดยเฉพาะ กับเขา
เมื่อได้รับอนุญาตฉันจะคัดลอกทุกอย่างไปที่เพจของฉัน ผู้สนใจสามารถเข้าไปที่
ไปยังแหล่งต้นฉบับ http://mikrotik.ru/forum/viewtopic.php?f=1 5&t=3280
การตั้งค่าเราเตอร์ตั้งแต่เริ่มต้น
ส่วนนี้จะชดเชยความขาดแคลนของส่วนที่ทา
ตามหัวข้อ ฉันกำหนดค่าเราเตอร์สำหรับผู้ให้บริการสองรายเท่านั้น ฉันหมายถึงรุ่นเราเตอร์คือซีรีย์ RB7xx
แหล่งที่มา:
ตรวจสอบและกำหนดค่า Mikrotik RB751U-2HnD ในโหมดเราเตอร์ไร้สายพร้อมการเชื่อมต่ออินเทอร์เน็ต
Sergey Lagovsky: MikroTik - การตั้งค่าเริ่มต้น
แหล่งที่มา
ต้องอ่าน ฉันจะไม่เขียนคู่มือสำหรับ Mikrotik
แม่บ้าน” เช่น “เอาสายเคเบิลในมือขวาของคุณ…” ต่อไปนี้ฉันจะชี้ให้เห็น
เหตุการณ์สำคัญเท่านั้นขั้นตอน และจะต้องทำอย่างไร - ในข้างต้น
แหล่งที่มา
ฉันใช้ บรรทัดคำสั่งเทอร์มินัลผ่าน Winbox และฉันจะยกตัวอย่างทั้งหมดในแบบฟอร์มนี้
1. รีเซ็ตการตั้งค่าเริ่มต้น:
/ รีเซ็ตระบบ - กำหนดค่า
2. ดาวน์โหลดแพ็คเกจอัปเกรดแล้วลากไปที่ Winbox ด้วยเมาส์ ต่อไป:
/รีบูตระบบ
และหลังจากรีบูต :
/อัพเกรดบอร์ดเราเตอร์ระบบ
3. ฉันสร้างบริดจ์จากสามพอร์ตสุดท้าย:
/ อินเตอร์เฟสบริดจ์
เพิ่มชื่อ = Local_Net
เพิ่มบริดจ์ = อินเตอร์เฟส Local_Net = ether3
เพิ่มบริดจ์ = อินเตอร์เฟส Local_Net = ether4
เพิ่มบริดจ์=อินเทอร์เฟซ Local_Net=ether5
4. ฉันกำหนดที่อยู่ IP ให้กับบริดจ์นี้:
/ที่อยู่ IP เพิ่มที่อยู่=192.168.1.1/24 อินเทอร์เฟซ=Local_Net
5. ตั้งค่าเซิร์ฟเวอร์ DHCP บนมัน:
/ip การตั้งค่าเซิร์ฟเวอร์ dhcp
ปล่อยให้มันระบุที่อยู่ของ Mikrotik เองเป็นเซิร์ฟเวอร์ DNS: 192.168.1.1 ฉันจะอธิบายว่าทำไมถึงช้ากว่านี้เล็กน้อย
6. อนุญาตให้เราเตอร์ตอบสนองต่อคำขอ DNS:
/ip DNS ตั้งค่าอนุญาตคำขอระยะไกล=ใช่
สูดหายใจเข้าลึกๆ: ตอนนี้เราได้รับฟังก์ชัน D-Link ที่แกะกล่องแล้ว :)
7. ตามคำแนะนำของ Sergei Lagovsky ฉันมักจะเปลี่ยนชื่อ superuser:
/user เพิ่มชื่อ=รหัสผ่านซุปเปอร์พาส=กลุ่มซุปเปอร์พาส=เต็ม
/ล้มเลิก
เข้าสู่ระบบในฐานะผู้ใช้ใหม่และปิดการใช้งานอันเก่า:
/ผู้ใช้ปิดการใช้งานผู้ดูแลระบบ
8. กำหนดเซิร์ฟเวอร์เวลาและโซนเวลา:
/system ntp ชุดไคลเอ็นต์ที่เปิดใช้งาน = ใช่โหมด = unicast primary-ntp = 83.229.137.52 รอง ntp = 213.141.146.135
/system clock set time-zone-name=ยุโรป/มอสโก
9. ตั้งค่าการเชื่อมต่ออินเทอร์เน็ต
ฉันจะรับกรณีที่ยากลำบากของผู้ให้บริการที่ไม่เท่ากันสองคน:
- อันดับแรก
ผู้ให้บริการให้บริการอินเทอร์เน็ตผ่าน PPPoE ผ่าน ADSL: 8 Mbit ขาเข้า / 0.8 Mbit
ขาออก. ที่อยู่ IP และการตั้งค่าเครือข่ายอื่น ๆ จะออกโดยผู้ให้บริการ
แบบไดนามิก - อย่างที่สองมีคุณภาพสูงมาก แต่มีราคาแพงในแง่ของออพติก: ช่องสัญญาณสมมาตรที่ 1 Mbit ที่อยู่ IP และการตั้งค่าเป็นแบบคงที่ (ถาวร)
9.1. การตั้งค่าผู้ให้บริการรายแรก
เราเปลี่ยนโมเด็ม ADSL ของเราเป็นโหมดบริดจ์ เราเสียบสายเคเบิลเข้ากับพอร์ตแรก (ether1)
สร้างและกำหนดค่าอินเทอร์เฟซ PPPoE:
/ อินเทอร์เฟซ pppoe-client เพิ่มชื่อ = ผู้ใช้ UTK = รหัสผ่าน ppp_user = ppp_pasw use-peer-dns = ใช่อินเทอร์เฟซ = ether1
หากมีผู้ให้บริการเพียงรายเดียวเราก็สามารถเพิ่ม " เพิ่ม-default-route=ใช่“แต่เรามีงานที่แตกต่างออกไป
"ใช้เพียร์ DNS" หมายความว่าเราจะใช้เซิร์ฟเวอร์ DNS ที่กำหนดโดย ISP สำหรับการเชื่อมต่อนี้
/พิมพ์ที่อยู่ IP
/ping mail.ru
เพื่อให้แน่ใจว่าการเชื่อมต่อใช้งานได้
9.2. การตั้งค่าผู้ให้บริการรายที่สอง
เราเสียบสายเคเบิลจากตัวแปลงสื่อเข้ากับพอร์ตที่สองและป้อนการตั้งค่าด้วยตนเอง:
/ ที่อยู่ IP เพิ่มที่อยู่ = 80.45.21.34/30 อินเทอร์เฟซ = ether2
หากผู้ให้บริการของคุณมีเซิร์ฟเวอร์ DNS ของตัวเอง คุณสามารถตั้งค่าได้อย่างชัดเจน:
/ip DNS ตั้งค่าเซิร์ฟเวอร์=ip_server1,ip_server2
และเราสามารถกำหนดสิ่งที่เปิดเผยต่อสาธารณะได้ เช่น Google: 8.8.8.8,8.8.4.4
ฉันขอเตือนคุณว่า
ด้วยขั้นตอนที่ 6 เราเตอร์ของเราจึงเป็นเซิร์ฟเวอร์ DNS สำหรับท้องถิ่น
เครือข่าย แต่ตัวเขาเองเหมือนลูกวัวที่อ่อนโยนดูดราชินีสองตัวตามอำเภอใจ
โดยการเข้าถึงเซิร์ฟเวอร์ DNS ของผู้ให้บริการใด ๆ
10. เปิดใช้งานการแปลที่อยู่
สำหรับผู้ให้บริการ 1:
/ip ไฟร์วอลล์ nat เพิ่ม chain=srcnat action=masquerade protocol=tcp out-interface=UTK
คุณสามารถทำเช่นเดียวกันกับอันที่สองได้ แต่เราจะสวยงาม เนื่องจากที่อยู่ของเราเป็นแบบถาวร เราจึงใช้ SNAT แทนการปลอมแปลง:
/ip ไฟร์วอลล์ nat เพิ่ม chain=srcnat action=src-nat protocol=tcp src-address=192.168.1.0/24 to-addresses=80.45.21.34
หากผู้ให้บริการของเราเทียบเท่า เราก็สามารถทำได้:
/ip เส้นทางเพิ่ม dst-address=0.0.0.0/0 เกตเวย์=UTK,ether2 check-gateway=ping
เราได้รับความทนทานต่อข้อผิดพลาดและการกระจายน้ำหนักที่สม่ำเสมอทันที (เส้นทางเท่ากัน)
ฉันแนะนำให้คุณลองทำเช่นนี้และเล่นบนคอมพิวเตอร์ของคุณ
"tracert mail.ru" ปิดการใช้งานอย่างใดอย่างหนึ่ง ส่วนหน้า -
เพียงเพื่อตรวจสอบ
หากผู้ให้บริการไม่เท่ากันเฉพาะความหนาของช่อง คุณสามารถทำได้:
/ip เส้นทางเพิ่ม dst-address=0.0.0.0/0 เกตเวย์=UTK,UTK,ether2 check-gateway=ping
ตอนนี้ผู้ให้บริการรายแรกจะได้รับสตรีมมากเป็นสองเท่าของผู้ให้บริการรายที่สอง
แต่งานของเราซับซ้อนกว่าเล็กน้อย เนื่องจากผู้ให้บริการไม่เท่าเทียมกันไม่เพียงแต่ในเชิงปริมาณเท่านั้น แต่ยังรวมถึงด้วย ในเชิงคุณภาพ.
11. ดังนั้น เราจะแยกเส้นทางให้พวกเขาและกำหนดการตั้งค่าที่แตกต่างกัน (ระยะทาง)
สำหรับผู้ให้บริการรายแรก วิธีที่ง่ายที่สุดคือทำสิ่งนี้:
/interface pppoe-client ตั้งค่า 0 add-default-route=yes
แม้ว่าเราจะทำได้ในย่อหน้าที่ 9.1 แต่ฉันตัดสินใจที่จะเน้นมันเพื่อประโยชน์ในการสั่งซื้อ
สำหรับผู้ให้บริการรายที่สอง - เช่นนี้
/ip เส้นทางเพิ่ม dst-address=0.0.0.0/0 เกตเวย์=80.45.21.34 ระยะทาง=2 เช็คเกตเวย์=ปิง
ตอนนี้เครือข่ายทั้งหมดของเราต้องผ่านผู้ให้บริการ 1 และหากล่มก็ผ่านผู้ให้บริการ 2
12. มาเน้นสตรีมสำคัญ (Skype, SIP) ที่ต้องส่งไปยังเครือข่ายผ่านผู้ให้บริการ 2
ที่นี่ฉันจะพูดนอกเรื่องเกี่ยวกับการทำเครื่องหมายของแพ็กเก็ตและการเชื่อมต่อเนื่องจากหัวข้อนี้ค่อนข้างน่าสนใจ
ถอยครั้งที่ 4
การทำเครื่องหมาย
ใช้แล้ว
เพื่อกำหนดป้ายกำกับสำหรับแพ็คเกจเฉพาะ การกระทำนี้อาจ
จะถูกดำเนินการภายในโต๊ะ Mangle เท่านั้น การตั้งค่าเครื่องหมายมักจะ
ใช้สำหรับความต้องการแพ็คเก็ตเส้นทางตามเส้นทางต่างๆสำหรับ
ข้อจำกัดด้านการจราจร ฯลฯ หากต้องการข้อมูลเพิ่มเติม คุณสามารถทำได้
อ้างถึง Linux Advanced Routing และ Traffic Control HOW-TO ไม่
โปรดจำไว้ว่า "แท็ก" ของแพ็คเก็ตนั้นมีอยู่ในช่วงเวลาหนึ่งเท่านั้น
แพ็กเก็ตไม่ได้ออกจากไฟร์วอลล์เช่น ฉลากไม่ได้ถูกส่งผ่านเครือข่าย ถ้า
จำเป็นต้องทำเครื่องหมายบนบรรจุภัณฑ์เพื่อใช้เครื่องหมายบนบรรจุภัณฑ์
เครื่องอื่น คุณสามารถลองจัดการบิตของฟิลด์ TOS ได้
คู่มือ: IP/ไฟร์วอลล์/Mangle บน Mikrotik Wiki
ที่
เมื่ออ่านและเขียนกฎ สิ่งสำคัญคือต้องเข้าใจอย่างชัดเจนว่าเราอยู่ที่ไหน
เราระบุเครื่องหมายที่เราเลือกแพ็กเก็ตจากโฟลว์และตำแหน่ง
เราดำเนินการกับบรรจุภัณฑ์ (ยอมรับ ปฏิเสธ หรือสร้างแบรนด์ดังกล่าว)
เข้าสู่ระบบ).
พิจารณากฎสองข้อจากบทความ PCC:
/ip ไฟร์วอลล์เสียหาย
เพิ่ม
ในอินเทอร์เฟซ = ether2 เครื่องหมายการเชื่อมต่อใหม่ = l2tp-out1_conn passthrough = ใช่
ต่อการเชื่อมต่อตัวแยกประเภท = src-ที่อยู่: 2/0 src-address = 172.16.0.0/16
เพิ่ม
action=mark-connection chain=การกำหนดเส้นทางล่วงหน้า dst-address-type=!local
ในอินเทอร์เฟซ = ether2 เครื่องหมายการเชื่อมต่อใหม่ = l2tp-out2_conn passthrough = ใช่
ต่อการเชื่อมต่อตัวแยกประเภท = src-ที่อยู่: 2/1 src-address = 172.16.0.0/16
เพิ่ม
การกระทำ = mark-routing chain = การกำหนดเส้นทางการเชื่อมต่อล่วงหน้า = l2tp-out1_conn
ในอินเทอร์เฟซ = ether2 new-routing-mark = to_l2tp-out1 passthrough = ใช่
เพิ่ม
การกระทำ = mark-routing chain = การกำหนดเส้นทางการเชื่อมต่อล่วงหน้า = l2tp-out2_conn
ในอินเทอร์เฟซ = ether2 new-routing-mark = to_l2tp-out2 passthrough = ใช่
ในกฎข้อแรกเรา ทำเครื่องหมายการเชื่อมต่อ(action=mark-connection) ในห่วงโซ่การกำหนดเส้นทางล่วงหน้า ตามมาด้วย สัญญาณ,
โดยที่เรากำหนดการเชื่อมต่อที่ควรติดป้ายกำกับ: มุมมอง
ที่อยู่ปลายทาง - ใด ๆ ยกเว้นที่อยู่ของเราเตอร์เอง
(dst-address-type=!local) อินเทอร์เฟซขาเข้า - ether2
(ในอินเทอร์เฟซ=ether2) ที่อยู่ต้นทาง - คอมพิวเตอร์ใด ๆ จากเครือข่ายย่อย
172.16.0.0/16. ต่อไปนี้เป็นคำสั่งที่ยอดเยี่ยม:
ต่อการเชื่อมต่อตัวแยกประเภท = src-ที่อยู่: 2/0 นี่คือวิธีที่เราทำลายกระแส
แพ็คเกจที่สอดคล้องกับลักษณะเหล่านี้จะถูกแบ่งออกเป็นสองแพ็คเกจ
จากนั้นเรากำหนดป้ายกำกับ l2tp-out1_conn ให้กับส่วนหนึ่งของสตรีม และ l2tp-out2_conn ให้กับส่วนที่สอง
ทะลุผ่าน
แปลว่า "ผ่านและผ่าน" จริงๆ แล้วแต่ละแพ็กเก็ตจะเรียงลำดับกัน
ถูกตรวจสอบกับแต่ละกฎจนกระทั่งการแข่งขันนัดแรกเกิดขึ้น ยังไง
บังเอิญ - จะถูกโอนไปยังตารางถัดไปทันที (ในนี้
case - DNAT) หรือถูกทำลายหากการกระทำนั้นเป็น DROP แต่ถ้าระบุ.
passthrough=yes แพ็กเก็ตจะถูกส่งไปยังกฎถัดไปในรายการเดียวกัน
โต๊ะ.
กฎต่อไปคือการทำเครื่องหมายที่ต้องการ
เส้นทางที่ต้องติดตาม (action=mark-routing) การเชื่อมต่อทั้งหมด
ทำเครื่องหมาย l2tp-out1_conn (เครื่องหมายการเชื่อมต่อ) เรายังสร้างแบรนด์ด้วยเครื่องหมาย
to_l2tp-out1 (เครื่องหมายการกำหนดเส้นทางใหม่) และต่อด้วยกระแสครึ่งหลัง
เราปฏิบัติตามนั้น
ฉันยังไม่เข้าใจว่าความหมายอันลึกซึ้งของการทำเครื่องหมายตามลำดับนี้คืออะไร และเหตุใดคุณจึงไม่สามารถใส่เครื่องหมายการกำหนดเส้นทางใหม่ได้ทันที แต่คำแนะนำอย่างเป็นทางการของ Mikrotik Wiki ก็ทำเช่นเดียวกัน
ใครสามารถอธิบายได้บ้าง?
โดยทั่วไป มีการกระทำสามประการที่มีชื่อคล้ายกันที่ควรค่าแก่การทำความเข้าใจ:
- การเชื่อมต่อเครื่องหมาย
- มาร์คแพ็คเก็ต
- ทำเครื่องหมายเส้นทาง
ทำเครื่องหมายเส้นทาง
- วางเครื่องหมายที่ระบุโดยพารามิเตอร์ new-routing-mark บนแพ็กเก็ต
เครื่องหมายประเภทนี้ใช้เพื่อวัตถุประสงค์ในการกำหนดเส้นทางนโยบายเท่านั้น
การดำเนินการนี้จะทำเครื่องหมายที่ใช้เฉพาะเมื่อเลือกเส้นทางสำหรับการส่งต่อเพิ่มเติม ตัวอย่างเช่น:
/เส้นทางไอพี
เพิ่ม dst-address=0.0.0.0/0 เกตเวย์=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
เพิ่ม dst-address=0.0.0.0/0 เกตเวย์=10.112.0.1 เครื่องหมายเส้นทาง=to_ISP2 ตรวจสอบเกตเวย์=ping
แต่ในกรณีที่เส้นทางใดเส้นทางหนึ่งขาดคุณก็ควรทำเช่นกัน กฎทั่วไปโดยไม่ต้องอ้างอิงถึงป้ายกำกับ:
เพิ่ม dst-address=0.0.0.0/0 เกตเวย์=10.111.0.1 ระยะทาง=1 เช็คเกตเวย์=ปิง
เพิ่ม dst-address=0.0.0.0/0 เกตเวย์=10.112.0.1 ระยะทาง=2 เช็คเกตเวย์=ปิง
แต่อะไรคือความแตกต่างระหว่าง mark-packet และ mark-connection?
แน่นอนว่าเป็นสิ่งเดียวกันที่แยกแพ็กเก็ตออกจากการเชื่อมต่อ
เราอ่าน:
การทำเครื่องหมาย
แต่ละแพ็กเก็ตมีทรัพยากรค่อนข้างแพง โดยเฉพาะอย่างยิ่งหากกฎต้องตรงกัน
กับพารามิเตอร์มากมายจากส่วนหัว IP หรือรายการที่อยู่ที่มี
หลายร้อยรายการ
การสร้างแบรนด์แต่ละแพ็คเกจมีราคาแพงมาก
มีความสุข โดยเฉพาะถ้ากฎมีสัญญาณหลายอย่าง
การเปรียบเทียบจากส่วนหัวของแพ็กเก็ต IP หรือแผ่นที่อยู่ที่มีหลายร้อย
บันทึก
มันยังพูดถึงการทำงานที่ก้าวล้ำของเราเตอร์
มีภาระ กฎที่ซับซ้อนตรวจสอบแต่ละแพ็คเก็ตใน 100 เมกะบิต
เครือข่าย ภาระการคำนวณบนโปรเซสเซอร์มีการเติบโตอย่างรวดเร็วซึ่ง
โดยพื้นฐานแล้วทำให้ไม่สามารถใช้วิธีการมาร์กนี้ได้
เมื่อจัดการกระแสข้อมูลขนาดใหญ่
อ้าง:
โชคดีหากเปิดใช้งานการติดตามการเชื่อมต่อ เราสามารถใช้เครื่องหมายการเชื่อมต่อเพื่อปรับการตั้งค่าของเราให้เหมาะสม
โชคดีที่หากเปิดใช้งานการติดตามการเชื่อมต่อ เราสามารถตั้งค่าสถานะการเชื่อมต่อได้ ซึ่งดีกว่ามาก!
ที่นี่
มันเป็นข้อได้เปรียบในการทำงานกับภาพระดับสูง ยิ่งสูง.
ระดับของลักษณะทั่วไป ยิ่งคุณต้องใช้จ่ายน้อยลงเท่านั้น
บรรลุเป้าหมาย!
/ip ไฟร์วอลล์เสียหาย
เพิ่ม chain=forward protocol=tcp port=!80 dst-address-list=first Connection-state=new action=mark-connection \
เครื่องหมายการเชื่อมต่อใหม่ = อันดับแรก
เพิ่ม chain=forward-connect-mark=first action=mark-packet new-packet-mark=first passthrough=no
เพิ่ม chain=forward protocol=udp dst-address-list=second Connection-state=new action=mark-connection \
ใหม่เครื่องหมายการเชื่อมต่อ = วินาที
เพิ่ม chain=เครื่องหมายการเชื่อมต่อไปข้างหน้า=การกระทำที่สอง=เครื่องหมาย-แพ็คเก็ต new-packet-mark=การส่งผ่านครั้งที่สอง=ไม่ใช่
อ้าง:
ตอนนี้
กฎข้อแรกจะพยายามจับคู่ข้อมูลจากส่วนหัว IP จากแพ็กเก็ตแรกเท่านั้น
ของการเชื่อมต่อใหม่และเพิ่มเครื่องหมายการเชื่อมต่อ กฎข้อต่อไปจะไม่อีกต่อไป
ตรวจสอบส่วนหัว IP สำหรับแต่ละแพ็คเก็ตก็จะเปรียบเทียบเครื่องหมายการเชื่อมต่อ
ส่งผลให้มีการใช้ CPU น้อยลง นอกจากนี้ passthrough=no was
เพิ่มเข้ามาเพื่อช่วยลดการใช้ CPU มากยิ่งขึ้น
กฎข้อแรกจะตรวจสอบข้อมูลเฉพาะในส่วนหัวของแพ็กเก็ตแรกของการเชื่อมต่อใหม่เท่านั้น โดยพิจารณาว่าภายในการเชื่อมต่อนี้ ข้อมูลอื่นๆ ทั้งหมดจะตรงกัน กฎข้อถัดไปแทนที่จะตรวจสอบส่วนหัวของแต่ละแพ็กเก็ต จะดูเฉพาะป้ายกำกับการเชื่อมต่อ ซึ่งช่วยลดภาระของ CPU ได้อย่างมาก นอกจากนี้ กฎ “passthrough=no” จะขัดจังหวะการส่งแพ็กเก็ตผ่านตารางนี้ทันทีและถ่ายโอนไปยังแพ็กเก็ตถัดไป ซึ่งช่วยลด CPU ด้วยเช่นกัน!
อุ๊ย... ทริคเด็ด! ตอนนี้ชัดเจนแล้วว่าทำไมในตัวอย่างของ PCC เราจึงทำเครื่องหมายการเชื่อมต่อก่อน จากนั้นเราจึงใส่เครื่องหมายที่สอง - เกี่ยวกับการกำหนดเส้นทางตามเครื่องหมายนี้
แต่มีคำถามเกิดขึ้น
ประการแรก: คุณจะเข้าใจได้อย่างไรว่าแพ็กเก็ตเป็นของการเชื่อมต่อเฉพาะโดยไม่ต้องดูที่ส่วนหัวของมัน แน่นอน - ไม่มีทาง ซึ่งหมายความว่าแต่ละแพ็กเก็ตจะถูกประมวลผลแยกกันไม่ว่าในกรณีใด แต่สิ่งนี้เกิดขึ้นนอก IPTables และไม่ทำให้เกิดภาระพิเศษใด ๆ ซีพียูซึ่งตรงข้ามกับการประมวลผลตามกฎภายใน IPTables
และคำถามที่สอง: คุณจะทำเครื่องหมายการเชื่อมต่อได้อย่างไร?
หากทุกอย่างชัดเจนในแพ็คเกจ: มันมีส่วนหัวที่เราทำการเปลี่ยนแปลง แล้วอะไรคือการแสดงออกที่แท้จริงของแนวคิดของ "การเชื่อมต่อ" ที่เราสามารถทำงานได้? เรากำลังทำเครื่องหมายอะไร?
> การจองช่องบน Mikrotik โดยไม่มีสคริปต์
ไมโครติก. เฟลโอเวอร์ โหลดบาลานซ์
เมื่อฉันต้องการทราบวิธีดำเนินการเฟลโอเวอร์หรือโหลดบาลานซ์ โดยมีสองช่องทางขึ้นไปทั่วโลก ฉันพบบทความและคำแนะนำมากมายที่อธิบายการกำหนดค่าการทำงาน แต่ฉันไม่พบคำอธิบายว่าทุกอย่างทำงานอย่างไรหรือคำอธิบายความแตกต่างแทบจะไม่มีเลย ตัวเลือกที่แตกต่างกัน- ฉันต้องการแก้ไขความไม่ยุติธรรมนี้และรวบรวมตัวเลือกที่ง่ายที่สุดสำหรับการสร้างการกำหนดค่าเฟลโอเวอร์และการปรับสมดุลโหลดไว้ในบทความเดียวดังนั้นเราจึงมีเราเตอร์ที่เชื่อมต่อเครือข่ายท้องถิ่นของเราและสองช่องทางกับอินเทอร์เน็ต (ISP1 หลักและ ISP2 สำรอง)
มาดูกันว่าเราสามารถทำอะไรได้บ้าง:
ขณะนี้เรามีช่องทางสำรองที่สามารถรับส่งข้อมูลได้หากช่องทางหลักล้มเหลว แต่จะทำให้ mikrotik เข้าใจได้อย่างไรว่าช่องมันหลุด?
การจองช่องที่ง่ายที่สุด
การเฟลโอเวอร์ที่ง่ายที่สุดสามารถกำหนดค่าได้โดยใช้ลำดับความสำคัญของเส้นทาง (ระยะทางสำหรับ mikrotik/cisco, หน่วยเมตริกสำหรับ linux/windows) รวมถึงกลไกในการตรวจสอบความพร้อมใช้งานของเกตเวย์ - เช็คเกตเวย์ในการกำหนดค่าด้านล่าง การรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดโดยค่าเริ่มต้นจะต้องผ่าน 10.100.1.254 (ISP1) แต่ทันทีที่ที่อยู่ 10.100.1.254 ไม่สามารถใช้งานได้ (และเส้นทางที่ผ่านนั้นไม่ได้ใช้งาน) การรับส่งข้อมูลจะผ่าน 10.200.1.254 (ISP2)
การกำหนดค่า: การเฟลโอเวอร์แบบง่าย
# ตั้งค่าเครือข่ายผู้ให้บริการ:
###รับประกันความซ้ำซ้อนของช่อง วิธีดั้งเดิม###
# ระบุเกตเวย์เริ่มต้น 2 รายการที่มีลำดับความสำคัญต่างกัน
/ip เส้นทางเพิ่ม dst-address=0.0.0.0/0 เกตเวย์=10.100.1.254 ระยะทาง=1 เช็คเกตเวย์=ปิง
/ip เส้นทางเพิ่ม dst-address=0.0.0.0/0 เกตเวย์=10.200.1.254 ระยะทาง=2 เช็คเกตเวย์=ปิง
Check-gateway=ping สำหรับ mikrotik ได้รับการประมวลผลดังนี้:
เกตเวย์จะถูกตรวจสอบเป็นระยะๆ (ทุกๆ 10 วินาที) โดยการส่งแพ็กเก็ต ICMP (ping) ไปที่นั่น แพ็กเก็ตจะถือว่าสูญหายหากไม่ส่งคืนภายใน 10 วินาที หลังจากที่แพ็กเก็ตสูญหายสองแพ็กเก็ต เกตเวย์จะถือว่าไม่พร้อมใช้งาน หลังจากได้รับการตอบกลับจากเกตเวย์ เกตเวย์จะพร้อมใช้งานและตัวนับแพ็กเก็ตที่สูญหายจะถูกรีเซ็ต
รับประกันการเฟลโอเวอร์ด้วยการวิเคราะห์แชนเนลเชิงลึก
ในตัวอย่างก่อนหน้านี้ ทุกอย่างเรียบร้อยดี ยกเว้นสถานการณ์ที่เกตเวย์ของผู้ให้บริการมองเห็นและตอบสนอง แต่ไม่มีอินเทอร์เน็ตอยู่เบื้องหลัง มันจะช่วยเราได้มากหากเราสามารถตัดสินใจเกี่ยวกับความอยู่รอดของผู้ให้บริการได้โดยการส่ง Ping ไม่ใช่ไปที่เกตเวย์เอง แต่เป็นบางสิ่งที่อยู่เบื้องหลังฉันรู้สองทางเลือกในการแก้ปัญหาทางวิศวกรรมนี้ สิ่งแรกและที่พบบ่อยที่สุดคือการใช้สคริปต์ แต่เนื่องจากเราไม่ได้พูดถึงสคริปต์ในบทความนี้ เราจะกล่าวถึงรายละเอียดเพิ่มเติมในส่วนที่สอง หมายถึงการใช้พารามิเตอร์ขอบเขตที่ไม่ถูกต้องทั้งหมด แต่จะช่วยให้เราตรวจสอบช่องของผู้ให้บริการได้ลึกกว่าเกตเวย์
หลักการนั้นง่าย:
แทนที่จะระบุเกตเวย์เริ่มต้น=เกตเวย์ของผู้ให้บริการแบบดั้งเดิม เราจะบอกเราเตอร์ว่าเกตเวย์เริ่มต้นคือหนึ่งใน Always_available_nodes (เช่น 8.8.8.8 หรือ 8.8.4.4) และในทางกลับกัน สามารถเข้าถึงได้ผ่านเกตเวย์ของผู้ให้บริการ
การกำหนดค่า: เฟลโอเวอร์พร้อมการวิเคราะห์แชนเนลที่ลึกยิ่งขึ้น
# ตั้งค่าเครือข่ายผู้ให้บริการ:
/ที่อยู่ IP เพิ่มที่อยู่=10.100.1.1/24 อินเทอร์เฟซ=ISP1
/ที่อยู่ IP เพิ่มที่อยู่=10.200.1.1/24 อินเทอร์เฟซ=ISP2
# ตั้งค่าอินเทอร์เฟซท้องถิ่น
/ที่อยู่ IP เพิ่มที่อยู่=10.1.1.1/24 อินเทอร์เฟซ=LAN
#ซ่อนอยู่ข้างหลังNATทุกสิ่งที่ออกมา เครือข่ายท้องถิ่น
/ip ไฟร์วอลล์ nat เพิ่ม src-address=10.1.1.0/24 action=masquerade chain=srcnat
###ให้การเฟลโอเวอร์ด้วยการวิเคราะห์แชนเนลที่ลึกยิ่งขึ้น###
#การใช้พารามิเตอร์ขอบเขตเราจะระบุเส้นทางแบบเรียกซ้ำไปยังโหนด 8.8.8.8 และ 8.8.4.4
/ip เส้นทางเพิ่ม dst-address=8.8.8.8 เกตเวย์=10.100.1.254 ขอบเขต=10
/ip เส้นทางเพิ่ม dst-address=8.8.4.4 เกตเวย์=10.200.1.254 ขอบเขต=10
# ระบุเกตเวย์เริ่มต้น 2 รายการผ่านโหนดซึ่งมีเส้นทางที่ระบุแบบวนซ้ำ
/ip เส้นทางเพิ่ม dst-address=0.0.0.0/0 เกตเวย์=8.8.8.8 ระยะทาง=1 เช็คเกตเวย์=ปิง
/ip เส้นทางเพิ่ม dst-address=0.0.0.0/0 เกตเวย์=8.8.4.4 ระยะทาง=2 เช็คเกตเวย์=ปิง
ตอนนี้เรามาดูสิ่งที่เกิดขึ้นโดยละเอียดเพิ่มเติมอีกเล็กน้อย:
เคล็ดลับก็คือเกตเวย์ของผู้ให้บริการไม่ทราบว่า 8.8.8.8 หรือ 8.8.4.4 เป็นเราเตอร์และจะกำหนดเส้นทางการรับส่งข้อมูลไปตามเส้นทางปกติ
Mikrotik ของเราเชื่อว่าตามค่าเริ่มต้นการรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดควรถูกส่งไปยัง 8.8.8.8 ซึ่งไม่สามารถมองเห็นได้โดยตรง แต่สามารถเข้าถึงได้ผ่าน 10.100.1.254 และหาก ping บน 8.8.8.8 หายไป (ฉันขอเตือนคุณว่ามีการระบุเส้นทางไปยังมันอย่างเคร่งครัดผ่านเกตเวย์จาก ISP1) จากนั้น mikrotik จะเริ่มส่งการรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดไปที่ 8.8.4.4 หรือส่งไปยัง 10.200 ที่กำหนดไว้แบบเรียกซ้ำ .1.254 (ISP2)
ดีบางช่วงเวลาของวัน เมื่อวันก่อน ฉันสับสนเกี่ยวกับการจัดระบบความทนทานต่อความเสียหายของ CCR1036-8G-2S+ ของฉัน ฉันดูเนื้อหามากมายบนอินเทอร์เน็ต แต่ส่วนใหญ่ไม่เหมาะกับฉัน แล้วฉันก็เจอสิ่งที่มีประโยชน์ซึ่งเหมาะอย่างยิ่งสำหรับการแก้ปัญหาของฉัน การตั้งค่าด้านล่างทำงานได้ 100%
เราได้พิจารณาตัวเลือกในการเชื่อมต่อผู้ให้บริการอินเทอร์เน็ตสองรายเข้ากับเราเตอร์ตัวเดียวซึ่งควบคุมโดย ระบบปฏิบัติการ Mikrotik RouterOS
อย่างไรก็ตาม นี่เป็นตัวเลือกที่ง่ายที่สุด ซึ่งอาจจะไม่เหมาะเสมอไปในบางสภาวะ ดังนั้นวันนี้เราจะนำตัวอย่างเฉพาะจำนวนหนึ่งของการกำหนดค่าเราเตอร์ที่มีเงื่อนไขในการเชื่อมต่อกับผู้ให้บริการสองรายและจะกล่าวถึงรายละเอียดเพิ่มเติมเกี่ยวกับความแตกต่างของการกำหนดค่าไฟร์วอลล์, NAT, การกำหนดเส้นทางและการทำโหลดบาลานซ์หรือการใช้งานที่สอง ช่องไว้เป็นข้อมูลสำรอง
และเนื่องจากเรื่องราวต่อไปจะมีตัวอย่างที่เฉพาะเจาะจง เราจะเริ่มด้วยเงื่อนไขเฉพาะ เรามีผู้ให้บริการ 2 ราย การสื่อสารกับทั้งสองถูกสร้างขึ้นผ่านโปรโตคอล PPPoE วิธีการตั้งค่าการเชื่อมต่อกับ ISP มีอธิบายไว้โดยละเอียดในบทความนี้ ดังนั้นเราจะข้ามขั้นตอนนี้ไป เราระบุว่าผู้ให้บริการหมายเลข 1 เชื่อมต่อกับพอร์ต Ether1 เท่านั้น และชื่อของการเชื่อมต่อ PPPoE คือ ISP1 ผู้ให้บริการหมายเลข 2 เชื่อมต่อกับพอร์ต Ether2 และมีชื่อการเชื่อมต่อ PPPoE - ISP2
ประเด็นเดียวคือในอนาคตเราจะสร้างกฎการกำหนดเส้นทางด้วยตนเอง ดังนั้นเมื่อสร้างการเชื่อมต่อกับผู้ให้บริการ คุณจะต้องยกเลิกการเลือกรายการเพิ่มเส้นทางเริ่มต้นบนแท็บการโทรออกสำหรับการเชื่อมต่อ PPPoEแนท
เพื่อให้เครือข่ายของเราทำงานได้อย่างถูกต้องและสามารถเข้าถึงอินเทอร์เน็ตได้ เราจำเป็นต้องกำหนดค่า NAT ในการดำเนินการนี้ ให้เปิดส่วน IP -> ไฟร์วอลล์ ไปที่แท็บ NAT แล้วใช้ปุ่ม "+" เพื่อเพิ่มกฎใหม่ บนแท็บ ทั่วไป ให้เลือก Chain chain scrnat ค่านอกสนาม อินเทอร์เฟซในในกรณีนี้
ขั้นตอนต่อไปของเราคือการตั้งค่า ฟังก์ชั่นไฟร์วอลล์ซึ่งได้รับการออกแบบมาเพื่อปกป้องเครือข่ายท้องถิ่นของเรา
ไปที่แท็บกฎตัวกรองซึ่งเราต้องสร้างกฎพื้นฐานจำนวนหนึ่งซึ่งจะมีการจัดระเบียบแพ็กเก็ตผ่านเราเตอร์ของเรา
หากคุณมีกฎใดๆ ในส่วนนี้ คุณควรลบออกก่อน
คุณสามารถเพิ่มกฎใหม่ได้โดยการกดปุ่ม "+" หลังจากนั้นสำหรับกฎที่อนุญาต ping - chain=input protocol=icmp action=accept บนแท็บทั่วไปเราจะเลือก chain Chain - input และ โปรโตคอล - icmp
ขออนุญาตปิง.
chain=input protocol=icmp action=accept
chain=forward protocol=การกระทำ icmp=accept
อนุญาตการเชื่อมต่อที่สร้างไว้แล้ว
chain=input การเชื่อมต่อสถานะ=การกระทำที่จัดตั้งขึ้น=ยอมรับ
chain = สถานะการเชื่อมต่อไปข้างหน้า = การกระทำที่จัดตั้งขึ้น = ยอมรับ
การอนุญาตการเชื่อมต่อที่เกี่ยวข้องฉัน
chain=input การเชื่อมต่อสถานะ=การกระทำที่เกี่ยวข้อง=ยอมรับ
chain = สถานะการเชื่อมต่อไปข้างหน้า = การกระทำที่เกี่ยวข้อง = ยอมรับ
เราห้ามการเชื่อมต่อที่ไม่สำเร็จ
Chain=สถานะการเชื่อมต่ออินพุต=การกระทำที่ไม่ถูกต้อง=ดรอป
chain=forward Connection-state=invalid action=drop
อนุญาตการเชื่อมต่อผ่านโปรโตคอล UDPchain=input protocol=udp action=accept
chain=forward protocol=udp action=accept
เราเปิดการเข้าถึงอินเทอร์เน็ตสำหรับเครือข่ายท้องถิ่นของเรา สำหรับผู้ที่มีคำนำหน้าเครือข่ายท้องถิ่นแตกต่างจาก 192.168.0.0/24 ให้ใส่ที่อยู่ของคุณแทน
chain=forward src-address=192.168.0.0/24 การกระทำ=ยอมรับ
เราอนุญาตให้เข้าถึงเราเตอร์จากเครือข่ายท้องถิ่นเท่านั้น ดังที่กล่าวไว้ข้างต้น - 192.168.0.0/24 ควรแทนที่ด้วยที่อยู่ของคุณ
chain=input src-address=192.168.0.0/24 การกระทำ=ยอมรับ
และท้ายที่สุด เราก็จะแบนสิ่งอื่นทั้งหมด
เชน = การกระทำอินพุต = ดรอป
เชน=การกระทำไปข้างหน้า=ดรอป
เห็นได้ชัดว่าการเปิดหน้าต่างใหม่ทุกครั้งและกรอกข้อมูลในฟิลด์ที่จำเป็นทั้งหมดนั้นค่อนข้างน่าเบื่อ ดังนั้นฉันขอแนะนำให้เปิด New Terminal และตั้งค่าคำสั่งด้านล่างทีละรายการ จะใช้เวลาน้อยลงมาก
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward protocol=icmp action=accept
ตัวกรองไฟร์วอลล์ ip เพิ่มเชน = สถานะการเชื่อมต่ออินพุต = การกระทำที่จัดตั้งขึ้น = ยอมรับ
ตัวกรองไฟร์วอลล์ ip เพิ่มเชน = สถานะการเชื่อมต่อไปข้างหน้า = การกระทำที่จัดตั้งขึ้น = ยอมรับ
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input การเชื่อมต่อสถานะ=การกระทำที่เกี่ยวข้อง=ยอมรับ
ตัวกรองไฟร์วอลล์ ip เพิ่มเชน = สถานะการเชื่อมต่อไปข้างหน้า = การดำเนินการที่เกี่ยวข้อง = ยอมรับ
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input Connection-state=invalid action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward Connection-state=invalid action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input protocol=udp action=accept
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward protocol=udp action=accept
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward src-address=192.168.0.0/24 action=accept
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input src-address=192.168.0.0/24 action=accept
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward action=drop
แต่ไม่ว่าเราจะทำด้วยวิธีใดก็ตาม สุดท้ายแล้ว เราก็ควรจะได้สิ่งต่อไปนี้
ขั้นตอนสุดท้ายแต่สำคัญที่สุดคือการสร้างเส้นทาง เริ่มต้นด้วยการทำเครื่องหมายการเชื่อมต่อของเรากับผู้ให้บริการ นี่เป็นสิ่งจำเป็นเพื่อให้คำขอทั้งหมดที่มาถึงอินเทอร์เฟซของผู้ให้บริการรายใดรายหนึ่งไปที่อินเทอร์เฟซของตน สิ่งนี้ค่อนข้างสำคัญหากเราอยู่เบื้องหลัง NAT และมีทรัพยากรใดๆ ที่จำเป็นต้องเข้าถึงจากอินเทอร์เน็ตทั่วโลก ตัวอย่างเช่น เว็บเซิร์ฟเวอร์ หรือเมลเซิร์ฟเวอร์ เป็นต้น เราได้พูดคุยกันแล้วถึงวิธีจัดระเบียบการทำงานของบริการดังกล่าวในบทความการตั้งค่าขั้นสูง Mikrotik RouterOS: การส่งต่อพอร์ต - dstnaที
ในการดำเนินการนี้ เราจำเป็นต้องสร้างกฎสองข้อแยกกันสำหรับผู้ให้บริการแต่ละรายในส่วน IP -> ไฟร์วอลล์ บนแท็บ Mangle
บนแท็บทั่วไป เลือก Chain chain เป็นไปข้างหน้า และในฐานะ In.Interface เลือกอินเทอร์เฟซ PPPoE สำหรับการเชื่อมต่อ ISP1 ของผู้ให้บริการรายแรก
ตอนนี้เพื่อที่จะส่งการตอบสนองต่อคำขอที่เข้ามาผ่านอินเทอร์เฟซของผู้ให้บริการรายเดียวกัน เราจำเป็นต้องสร้างกฎเพิ่มเติม 2 ข้อที่จะทำเครื่องหมายเส้นทาง
ที่นี่ เราสร้างกฎใหม่โดยเลือกค่าการกำหนดเส้นทางล่วงหน้าเป็น Chain chain ป้อนคำนำหน้าของเครือข่ายท้องถิ่นของเรา 192.168.0.0/24 ในช่อง Scr.Address และเลือกเครื่องหมายการเชื่อมต่อของผู้ให้บริการรายแรกของเรา ISP1-con ในเครื่องหมาย Cjnnection
และตอนนี้ หากเรามีทรัพยากรใดๆ ที่จำเป็นต้องเข้าถึงได้ผ่านทางอินเทอร์เฟซของผู้ให้บริการรายใดรายหนึ่งโดยเฉพาะ เราจำเป็นต้องสร้างรายการทรัพยากรเหล่านี้และทำเครื่องหมายการเชื่อมต่อทั้งหมดด้วยที่อยู่จากรายการนี้เพื่อการกำหนดเส้นทางที่ถูกต้องเพิ่มเติม
ตัวอย่างเช่น ผู้ให้บริการหมายเลข 2 - ISP2 - มีทรัพยากรท้องถิ่นที่มีช่วงที่อยู่ 181.132.84.0/22 และผ่านผู้ให้บริการหมายเลข 1 ปิงไปที่ เซิร์ฟเวอร์เกมเกมออนไลน์น้อยมาก และเรารู้ว่าที่อยู่ IP ของเซิร์ฟเวอร์เหล่านี้คือ 90.231.6.37 และ 142.0.93.168
ไปที่แท็บรายการที่อยู่ของส่วน IP -> ไฟร์วอลล์ และทีละรายการเราจะเพิ่มที่อยู่ IP หรือเครือข่ายย่อยทั้งหมดเหล่านี้ด้วยชื่อ to-ISP1 หรือ to-ISP2 ขึ้นอยู่กับผู้ให้บริการรายใดที่ควรเข้าถึงทรัพยากรเหล่านี้
และเนื่องจากผู้ให้บริการส่วนใหญ่ใช้บริการ DNS ของตัวเองเซิร์ฟเวอร์ซึ่งมักถูกห้ามไม่ให้เข้าถึงจากเครือข่ายอื่น การเพิ่มที่อยู่ของเซิร์ฟเวอร์ DNS ของผู้ให้บริการแต่ละรายลงในรายการเหล่านี้จึงเป็นสิ่งสำคัญอย่างยิ่ง เพื่อให้คำขอชื่อโดเมนไปถึงพวกเขาผ่านอินเทอร์เฟซของผู้ให้บริการเฉพาะ
และบนแท็บการดำเนินการ การดำเนินการ - ทำเครื่องหมายการกำหนดเส้นทาง เครื่องหมายการกำหนดเส้นทางใหม่ - ISP1-rt
มาดูส่วนพื้นฐานที่สุดของการตั้งค่าการกำหนดเส้นทาง - การสร้างกฎการกำหนดเส้นทางแบบคงที่ในส่วน IP -> เส้นทาง
หากช่องทางของผู้ให้บริการทั้งสองของเราเกือบจะเท่ากัน เราจะเพิ่มเส้นทางต่อไปนี้: ในแท็บทั่วไปของหน้าต่างการสร้างเส้นทาง สำหรับ Dst.Address เราเขียน 0.0.0.0/0 และในฐานะ Getway เราเลือกอินเทอร์เฟซของผู้ให้บริการของเรา ISP1 และ ISP2 พารามิเตอร์อื่นๆ ทั้งหมดจะไม่เปลี่ยนแปลง
ในตัวเลือกนี้ โหลดของผู้ให้บริการทั้งสองรายจะถูกกระจายเท่าๆ กัน
Dst.Address แรกคือ 0.0.0.0/0 เกตเวย์คือ ISP1
และ Dst.Address อันที่สองคือ 0.0.0.0/0, Gateway คือ ISP2, Distance คือ 2
อันแรกจะมี Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt และอันที่สองตามลำดับ Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt
ตอนนี้ทำงานร่วมกับผู้ให้บริการสองรายได้รับการกำหนดค่าอย่างถูกต้อง การเชื่อมต่อขาเข้าทั้งหมดจะถูกทำเครื่องหมายและการตอบกลับจะถูกส่งผ่านอินเทอร์เฟซที่มีการร้องขอ การเรียกไปยังทรัพยากรบางอย่างมีการกระจาย และโหลดบนทั้งสองช่องสัญญาณมีความสมดุล
บทความอธิบาย คำแนะนำโดยละเอียดวิธีตั้งค่าการจองช่องอินเทอร์เน็ตจากผู้ให้บริการมือถือสองรายบนเราเตอร์ Mikrotik
|
Mikrotik จะได้รับอินเทอร์เน็ตจากเราเตอร์ในตัวสองตัว Tandem-4GL-OEM เราเตอร์จะใช้สองซิมการ์ดที่แตกต่างกัน ผู้ให้บริการโทรศัพท์มือถือ- ตัวดำเนินการรายหนึ่งจะถูกใช้เป็นช่องทางอินเทอร์เน็ตหลักตัวที่สอง - เป็นตัวสำรอง หากอินเทอร์เน็ตหายไปที่ช่องหลัก Mikrotik จะต้องเปลี่ยนอินเทอร์เน็ตเป็นช่องสำรอง เมื่อช่องหลักกลับมาเล่นต่อ ให้สลับไปที่ช่องหลักโดยอัตโนมัติ ผลลัพธ์ที่ได้คือช่องทางอินเทอร์เน็ตที่เสถียรมากจากผู้ให้บริการโทรศัพท์มือถือสองราย ซึ่งสามารถใช้งานได้ในพื้นที่ห่างไกลซึ่งมีการใช้อินเทอร์เน็ต 3G/4G |
น่าสนใจ:
|
สำหรับอินเทอร์เน็ตเราใช้เราเตอร์ Mikrotik สองพอร์ต: ที่ 1 และ 5 พอร์ตที่ 5 (POE ออก) มีความสามารถในการจ่ายไฟให้กับอุปกรณ์ผ่านสายคู่บิด (Power over Ethernet) ดังนั้นจึงสะดวกในการใช้งาน เราเตอร์ Tandem-4GL-OEM มีความสามารถในการจ่ายไฟผ่าน PoE
พอร์ตทั้งสองจะได้รับการกำหนดค่าให้รับแบบไดนามิก การตั้งค่าเครือข่ายผ่านทาง DHCP ตามค่าเริ่มต้น เราเตอร์ Tandem-4GL-OEM จะมีที่อยู่ IP ของตัวเอง 192.168.1.1 เราจะใช้เราเตอร์ 2 ตัว ดังนั้นหนึ่งในนั้นจะต้องกำหนดค่าเป็นเครือข่ายย่อยอื่น
ในการดำเนินการนี้ ให้เชื่อมต่อ Tandem-4GL-OEM เข้ากับคอมพิวเตอร์ของคุณโดยตรง และไปที่เว็บอินเตอร์เฟสที่ 192.168.1.1 ไปที่เมนูเครือข่าย - อินเทอร์เฟซ - คลิกปุ่มแก้ไขอินเทอร์เฟซ LAN
ลงทะเบียนที่อยู่ IP ใหม่สำหรับเราเตอร์ เราเข้าสู่ 192.168.2.1. ในกรณีนี้เราเตอร์จะกระจายที่อยู่ IP ที่อยู่ในเครือข่ายย่อยนี้โดยอัตโนมัติ คลิกบันทึก
เรามาต่อกันที่ การตั้งค่าไมโครติก - เราเตอร์ที่มี IP 192.168.2.1 จะ ช่องสำรองอินเทอร์เน็ตเชื่อมต่อกับพอร์ตที่ 1 ของเราเตอร์ Mikrotik พอร์ตที่ 5 ที่มี PoE จะเป็นอินเทอร์เน็ตหลัก
เปิด Winbox และเชื่อมต่อกับเราเตอร์โดยใช้ที่อยู่ MAC (เขียนบนเราเตอร์เอง) รหัสผ่านเริ่มต้นคือผู้ดูแลระบบ ไม่มีการระบุรหัสผ่าน
การใช้โปรแกรม Winbox ที่เรารีเซ็ต การกำหนดค่าจากโรงงานตามค่าเริ่มต้น เพื่อกำหนดค่าเราเตอร์ MikroTik สำหรับผู้ให้บริการสองรายตั้งแต่เริ่มต้น:
- เปิดเมนู ระบบ - รีเซ็ตการกำหนดค่า;
- ทำเครื่องหมายที่ช่องไม่มีการกำหนดค่าเริ่มต้น
- คลิกรีเซ็ตการกำหนดค่า
เชื่อมต่อกับ Mikrotik อีกครั้งโดยใช้ Winbox
มาตั้งค่ากัน พอร์ตแลน 2-4 และ Wi-Fiพอร์ตเหล่านี้จะรวมกันเป็นเครือข่ายท้องถิ่นเดียว ในการดำเนินการนี้ เราจะสร้างอินเทอร์เฟซ Bridge และเพิ่มอินเทอร์เฟซ ethe2-ether4 และ wlan1 เข้าไป
เปิดเมนู Bridge คลิก + ป้อนชื่ออินเทอร์เฟซในช่อง Name และคลิก OK
ไปที่แท็บพอร์ตของเมนูบริดจ์ มาเพิ่มพอร์ตทั้งหมด ether2-erher4 และ wlan1
- หากต้องการทำสิ่งนี้ ให้กด +;
- ในรายการอินเทอร์เฟซ ให้เลือก ether2;
- ในรายการบริดจ์ เลือกอินเทอร์เฟซภายในบริดจ์ คลิกตกลง
ทำซ้ำการดำเนินการสำหรับพอร์ตอีเทอร์ที่เหลือและสำหรับ Wi-Fi - wlan1
กำหนดที่อยู่ IP ให้กับอินเทอร์เฟซบริดจ์:
- เปิดเมนู IP - ที่อยู่
- คลิกปุ่ม +;
- ในฟิลด์ที่อยู่ให้ป้อนที่อยู่ IP และมาสก์เครือข่ายท้องถิ่น 192.168.88.1/24
- ในรายการอินเทอร์เฟซ เลือกบริดจ์อินเทอร์เฟซเครือข่ายท้องถิ่น คลิกตกลง
การตั้งค่ามันขึ้นมา เซิร์ฟเวอร์ DHCPเครือข่ายท้องถิ่น
เพื่อให้แน่ใจว่าคอมพิวเตอร์ที่เชื่อมต่อกับเราเตอร์ได้รับการตั้งค่าเครือข่ายโดยอัตโนมัติ เราจะกำหนดค่าเซิร์ฟเวอร์ DHCP:
เปิดเมนู IP - เซิร์ฟเวอร์ DHCP แล้วคลิกปุ่มการตั้งค่า DHCP
- ในหน้าต่างแรก เลือกอินเทอร์เฟซบริดจ์ คลิกถัดไป
- ในหน้าต่างที่สอง เครือข่ายสำหรับการกระจาย DHCP ได้รับการกำหนดค่า ปล่อยให้ไม่เปลี่ยนแปลง ถัดไป;
- ในหน้าต่างที่สามระบุที่อยู่เกตเวย์ ปล่อยให้ไม่เปลี่ยนแปลง ถัดไป;
- ช่วงของที่อยู่ IP สามารถปล่อยไว้ไม่เปลี่ยนแปลง ถัดไป;
- เวลาเช่า DHCP สามารถปล่อยไว้ไม่เปลี่ยนแปลง ถัดไป ตกลง
การตั้งค่า Wi-Fi
- เปิดเมนูไร้สาย
- คลิกที่อินเทอร์เฟซ wlan1 แล้วคลิกปุ่มเปิดใช้งาน (เครื่องหมายถูกสีน้ำเงิน)
สร้างรหัสผ่านเพื่อเชื่อมต่อกับจุดเชื่อมต่อ MikroTik:
- เปิดแท็บโปรไฟล์ความปลอดภัยแล้วทำ ดับเบิลคลิกปุ่มซ้ายของเมาส์ตามค่าเริ่มต้น
- ในหน้าต่างที่ปรากฏขึ้น ในรายการโหมด ให้เลือกคีย์ไดนามิก
- ทำเครื่องหมายที่ช่องถัดจากการลงทะเบียนโดยใช้โปรโตคอล WPA2 PSK
- ในช่องคีย์ที่แชร์ล่วงหน้า WPA2 ให้ป้อนรหัสผ่านเพื่อเชื่อมต่อกับจุด Wi-Fi ตกลง.
การตั้งค่าพารามิเตอร์ จุดเชื่อมต่อ Wi-Fiไมโครติ๊ก:
- เปิดแท็บอินเทอร์เฟซแล้วดับเบิลคลิกด้วยปุ่มซ้ายของเมาส์ อินเตอร์เฟซ Wi-Fi wlan1 เพื่อเข้าสู่การตั้งค่า
- ไปที่แท็บไร้สาย ในรายการโหมด เลือกโหมดการทำงานของ AP Bridge
- ป้อนชื่อของคุณในช่อง SSID เครือข่าย Wi-Fi, ตกลง. คุณยังสามารถกำหนดการตั้งค่าอื่นๆ ได้ด้วย
การตั้งค่าพอร์ตอินเทอร์เน็ต
เรากำหนดค่าพอร์ต 5 เพื่อรับการตั้งค่าเครือข่ายแบบไดนามิกจากผู้ให้บริการผ่าน DHCP
- เปิดเมนูไคลเอนต์ IP - DHCP
- คลิกปุ่มเพิ่ม (กากบาทสีน้ำเงิน)
- ในหน้าต่างที่ปรากฏขึ้น ในรายการอินเทอร์เฟซ ให้เลือกอินเทอร์เฟซ ether1
- เพิ่มเส้นทางเริ่มต้น เลือก ไม่; ตกลง.
ลองทำเช่นเดียวกันกับพอร์ต ether1
การตั้งค่าการสลับช่องอินเทอร์เน็ตระหว่างผู้ให้บริการสองราย
ในการกำหนดค่าการสลับช่องอินเทอร์เน็ตระหว่างผู้ให้บริการสองราย เราจะใช้เส้นทางและยูทิลิตี้ Netwatch ในตัว
เราจะมีสองเส้นทางที่การรับส่งข้อมูลทางอินเทอร์เน็ตสามารถไปได้ การรับส่งข้อมูลทั้งหมดจะผ่านผู้ให้บริการรายที่ 1 ตามค่าเริ่มต้น
ถ้าจู่ๆ การเชื่อมต่อจะหายไปกับผู้ให้บริการรายที่ 1 จากนั้นเราจะเปิดใช้งานเส้นทางที่ 2 และการรับส่งข้อมูลทั้งหมดจะผ่านผู้ให้บริการรายที่ 2
ทันทีที่การเชื่อมต่อผ่านผู้ให้บริการรายที่ 1 กลับมาอีกครั้ง เราจะปิดใช้งานเส้นทางที่ 2 และการรับส่งข้อมูลทั้งหมดจะผ่านผู้ให้บริการรายที่ 1
ยูทิลิตี้ Netwatch จะช่วยคุณ ping ที่อยู่ IP บนอินเทอร์เน็ตและรันสคริปต์หากที่อยู่ IP หยุดส่ง Ping หรือเริ่มส่ง Ping อีกครั้ง จะทำการเปิดใช้งานและปิดใช้งานเส้นทาง
มาเพิ่ม 2 เส้นทางครับ โดยไปที่เมนู IP - เส้นทาง คลิก + เพื่อเพิ่มเส้นทางใหม่
กรอกพารามิเตอร์ตามภาพแล้วคลิกปุ่มแสดงความคิดเห็น
ในฟิลด์ความคิดเห็น ให้ป้อน ISP1 นี่เป็นสิ่งจำเป็นในการกำหนดเส้นทางเมื่อสลับไปสำรองและกลับ
คลิกตกลงในหน้าต่างทั้งสอง เพิ่มเส้นทางใหม่อีกครั้ง และทำซ้ำขั้นตอนสำหรับอินเทอร์เน็ตที่สอง
- ในฟิลด์เกตเวย์เราจะป้อน 192.168.2.1
- ในฟิลด์ระยะทาง - 3
- ในความคิดเห็น - ISP2
มาเพิ่มเส้นทางสำหรับคำสั่ง pingเพิ่มเส้นทางใหม่อีกครั้งโดยใช้ปุ่ม + ป้อนข้อมูลตามภาพ คลิก Comment เราโทรมา อินเทอร์เฟซของ Google, เพราะ นี่คือที่อยู่ที่เราจะส่ง Ping
เพิ่มไปที่ กฎไฟร์วอลล์ซึ่งจะห้ามการปิงที่อยู่ IP 8.8.4.4ผ่านผู้ให้บริการรายที่ 2 มิฉะนั้นยูทิลิตี้ Netwatch จะคิดว่าการเชื่อมต่อกับผู้ให้บริการรายแรกได้รับการกู้คืนแล้วและจะเปลี่ยนเส้นทางเป็นวงกลมอย่างต่อเนื่อง
- เปิดเมนู IP - ไฟร์วอลล์ และไปที่แท็บกฎตัวกรอง
- คลิกปุ่ม +;
- ในรายการลูกโซ่ เลือกเอาท์พุต;
- ในฟิลด์ Dst ที่อยู่ ป้อนที่อยู่เซิร์ฟเวอร์ 8.8.4.4;
- ในรายการออก อินเทอร์เฟซเลือก ether1;
- ไปที่แท็บการดำเนินการ
ในรายการ การดำเนินการ เลือก วาง คลิก ตกลง
การตั้งค่าสคริปต์สำหรับการสลับไปยังช่องสัญญาณสำรอง
Netwatch จะทดสอบการเชื่อมต่ออินเทอร์เน็ตโดยส่ง Ping ไปยังเซิร์ฟเวอร์ Google ด้วยที่อยู่ IP 8.8.4.4 ทันทีที่เซิร์ฟเวอร์หยุดส่ง Ping สคริปต์จะถูกดำเนินการเพื่อเปิดใช้งานเส้นทางที่ 2 และการรับส่งข้อมูลจะผ่านผู้ให้บริการรายที่ 2 ทันทีที่การเชื่อมต่อผ่านผู้ให้บริการรายที่ 1 ได้รับการกู้คืน สคริปต์อื่นจะถูกดำเนินการ ซึ่งจะปิดใช้งานเส้นทางที่ 2 และการรับส่งข้อมูลจะผ่านผู้ให้บริการรายที่ 1
- เปิดเมนู เครื่องมือ - Netwatch;
- คลิกปุ่มเพิ่ม (เครื่องหมายบวกสีน้ำเงิน);
- ในฟิลด์โฮสต์ ให้ป้อน เซิร์ฟเวอร์ของ Google 8.8.4.4 ซึ่งยูทิลิตี้จะส่ง Ping;
- ในฟิลด์ Interval ระบุช่วงเวลาที่เซิร์ฟเวอร์จะส่ง Ping เราตั้งค่าเป็น 15 วินาที
- ไปที่แท็บลง
บนแท็บลง ให้แทรกสคริปต์เปิดใช้งานเส้นทาง /ip
สคริปต์นี้จะเปิดใช้งานเส้นทางผ่านผู้ให้บริการรายที่สองหากเซิร์ฟเวอร์ Google หยุดส่ง Ping ไปที่แท็บขึ้น
บนแท็บขึ้น ให้แทรกสคริปต์ปิดใช้งานเส้นทาง /ip
สคริปต์นี้จะปิดการใช้งานเส้นทางผ่านผู้ให้บริการรายที่สองหากการเชื่อมต่อผ่านผู้ให้บริการรายแรกได้รับการกู้คืน คลิกตกลง
ตรวจสอบการสลับอินเทอร์เน็ตระหว่างผู้ให้บริการสองราย
เปิดเมนู IP - เส้นทาง เส้นทางของผู้ให้บริการรายที่สองต้องเป็น สีเทา, เช่น. ไม่ได้ใช้งานอยู่
ถอดสายเคเบิลจากผู้ให้บริการรายที่ 1 ออกจากเราเตอร์ ในเส้นทาง ต้องเปิดใช้งานเส้นทางของผู้ให้บริการรายที่สอง
ตรวจสอบว่าอินเทอร์เน็ตพร้อมใช้งานหรือไม่ เชื่อมต่อสายเคเบิลอีกครั้งจากอินเทอร์เน็ตหลัก การสลับควรเกิดขึ้นภายใน 15 วินาที
เพื่อประหยัดการรับส่งข้อมูล แนะนำให้เพิ่มเวลา ping จาก 1 นาที
ตัวเลือกการจองอื่น ๆ ก็เป็นไปได้เช่นกัน
ความล้มเหลว - ในภาษารัสเซียนี่คือการจองช่องอินเทอร์เน็ตโดยเปลี่ยนในกรณีที่ช่องอินเทอร์เน็ตหลักล้มเหลวไปเป็นช่องทางสำรอง
ดังนั้นเราจึงมี Mikrotik โดยมีผู้ให้บริการ 2 รายเชื่อมต่ออยู่ (ISP1 และ ISP2) และเครือข่ายของคุณ จำเป็นต้องสลับไปใช้เครือข่ายสำรองโดยอัตโนมัติเมื่อช่องอินเทอร์เน็ตหลักล้มเหลว
1. วิธีการ การเฟลโอเวอร์ทำได้โดยเส้นทาง สิ่งที่คุณต้องทำคือลงทะเบียนสองเส้นทาง เส้นทางหนึ่งไปยัง ISP1 และเส้นทางที่สองไปยัง ISP2 โดยเลือก ping หรือ arp ในรายการ "ตรวจสอบเกตเวย์" ในความคิดของฉัน ping เหมาะสำหรับกรณีส่วนใหญ่มากกว่า ในทำนองเดียวกัน ให้ลงทะเบียนเส้นทางไปยังผู้ให้บริการรายที่สอง สะดวกที่สุดสำหรับฉันในการกำหนดค่า Mikrotik โดยใช้ Winbox เส้นทางถูกลงทะเบียนในเมนู IP-Routes
หากคุณกำหนดระยะทาง เช่น 1 ต่อผู้ให้บริการหนึ่งราย และ 2 ต่อผู้ให้บริการรายที่สอง Mikrotik จะปรับสมดุลโหลดโดยอัตโนมัติ เมื่อ โหลดเต็มแล้วจากผู้ให้บริการรายแรก คำขอใหม่จะไปที่ผู้ให้บริการรายที่สอง
วิธีนี้มีข้อจำกัดบางประการ:
— หากผู้ให้บริการรายใดรายหนึ่งให้ IP แบบไดนามิกแก่คุณและการตั้งค่าผ่าน DHCP คุณจะไม่สามารถลงทะเบียนเส้นทางโดยระบุชื่ออินเทอร์เฟซได้ คุณจะต้องป้อน IP ของเกตเวย์ในช่อง "เกตเวย์"
— บางครั้งมีสถานการณ์ที่เกตเวย์ของผู้ให้บริการทำงาน แต่โหนดด้านหลังไม่พร้อมใช้งาน Mikrotik จะพิจารณาเส้นทางที่จะใช้งานได้ การสลับจะไม่เกิดขึ้น และอินเทอร์เน็ตจะไม่ทำงาน
ตัวเลือกที่ 2 Failover บน Mikrotik โดยไม่มีข้อเสียของวิธีแรก
Mikrotik มี Netwatch ในตัว (อยู่ในเมนูเครื่องมือ) กล่าวโดยสรุป ยูทิลิตี้นี้ช่วยให้คุณสามารถ ping IP ใด ๆ และดำเนินการคำสั่งหากความพร้อมใช้งานของที่อยู่ IP เปลี่ยนแปลง ใน Up เราป้อนคำสั่งที่จะดำเนินการเมื่อ IP พร้อมใช้งานอีกครั้ง ใน Down เราป้อนคำสั่งที่ต้องดำเนินการ เมื่อไอพีใช้งานไม่ได้
สาระสำคัญชัดเจนจากภาพ คลิกเครื่องหมายบวกสีน้ำเงิน ใส่ IP โดยเราจะตรวจสอบประสิทธิภาพของช่อง ช่วงเวลาทดสอบ ผมตั้งค่าไว้ประมาณหนึ่งนาที มากหรือน้อยก็สามารถทำได้
ใช่ คุณต้องตั้งค่าความคิดเห็นสำหรับเส้นทางก่อน สะดวกที่สุดสำหรับฉันในการตั้งค่า Mikrotik ผ่าน Winbox เพื่อแสดงความคิดเห็นสำหรับเส้นทางไปที่ IP-Routes หน้าต่างจะเปิดขึ้นพร้อมรายการเส้นทางปุ่มสำหรับตั้งค่าความคิดเห็นจะวนเป็นวงกลมเลือกเส้นทางที่ต้องการ คลิกที่ปุ่ม ป้อนความคิดเห็นสำหรับเส้นทาง คลิกตกลง
รูปภาพแสดงการทำงานของสคริปต์ เส้นทางไปยัง ISP2 (ฉันมี Utel) ไม่ทำงาน เป็นสีเทา และเส้นทางไปยัง ISP1 (ฉันมี Stels) ทำงานอยู่ ด้านล่างนี้ คุณสามารถดูเส้นทางพร้อมความคิดเห็นของ Stels88 ซึ่งจำเป็นเพื่อให้การ Ping ไปที่ 8.8.4.4 ที่เราใช้ในสคริปต์นั้นมาจาก ISP1 เท่านั้น นี่เป็นสิ่งจำเป็นในการตรวจสอบประสิทธิภาพของ ISP1 การ Ping นั้นใช้ได้ หากไม่มี ตอบสนองต่อการส่ง Ping คุณต้องเปลี่ยนไปใช้ ISP2 สามารถดูวิธีการนี้ได้ในภาพด้านล่าง:
ในส่วน UP เราเขียนว่า:
/ip เส้นทางถูกปิดใช้งาน = no
/ip ตั้งค่าเส้นทางถูกปิดใช้งาน=ใช่
ในส่วนด้านล่างเราเขียนว่า:
/ip ตั้งค่าเส้นทางถูกปิดใช้งาน=ใช่
/ip เส้นทางถูกปิดใช้งาน = no
เพื่อให้รูปแบบทำงานได้อย่างถูกต้องคุณต้องอนุญาตให้ ip นี้ส่ง Ping จาก ISP1 เท่านั้น ขอแนะนำให้เพิ่มกฎลงใน IP-Firewall ที่ห้ามการเข้าถึง 8.8.4.4 จาก ISP2 และลงทะเบียน เส้นทางคงที่เป็น 8.8.4.4 ผ่านเกตเวย์ ISP1 (in โหมดปกติสิ่งนี้จะไม่ทำงานหาก ISP1 ออก IP แบบไดนามิก และคุณจะต้องเขียนสคริปต์ที่จะกำหนด IP ของเกตเวย์และลงทะเบียนเส้นทาง)
ผู้สนับสนุนบทความ:
บทช่วยสอน MikroTik – ทฤษฎีและการปฏิบัติในรูปแบบวิดีโอ
ในหลักสูตรวิดีโอ "" คุณจะได้เรียนรู้วิธีกำหนดค่าเราเตอร์ตั้งแต่เริ่มต้นตามวัตถุประสงค์ สำนักงานขนาดเล็ก- หลักสูตรนี้ขึ้นอยู่กับ โปรแกรมอย่างเป็นทางการ MikroTik Certified Network Associate แต่มีการขยายตัวอย่างมาก โดยเฉพาะอย่างยิ่งในแง่ของการรวบรวมความรู้ในทางปฏิบัติ หลักสูตรประกอบด้วยบทเรียนวิดีโอ 162 บทเรียนและ 45 บทเรียน งานห้องปฏิบัติการรวมกันเป็นข้อกำหนดทางเทคนิค หากมีอะไรไม่ชัดเจนสามารถถามคำถามกับผู้เขียนรายวิชาได้ สามารถดูบทเรียน 25 บทแรกได้ฟรี กรอกแบบฟอร์มสั่งซื้อได้ที่
