Sa forum ng pamamahagi, isang user sa ilalim ng palayaw Barvinok nagsimulang magsulat
isang serye ng mga artikulo na sinusubukang pag-isahin at gawing sistematiko ang naipon na database
kaalaman sa Mikrotik sa pangkalahatan at sa paksa ng dalawang provider sa partikular. kasama niya
Sa pahintulot, kokopyahin ko ang lahat sa aking pahina. Maaaring pumunta ang mga interesado
sa orihinal na pinagmulan http://mikrotik.ru/forum/viewtopic.php?f=1 5&t=3280
Pagse-set up ng router mula sa simula.
Ang seksyong ito ay bubuo sa kakulangan ng inilapat na bahagi.
Ayon sa pamagat ng paksa, i-configure ko ang router para sa eksaktong dalawang provider. Ibig kong sabihin ang modelo ng router ay RB7xx series.
Mga Pinagmulan:
Suriin at pagsasaayos ng Mikrotik RB751U-2HnD sa wireless router mode na may koneksyon sa Internet.
Sergey Lagoovsky: MikroTik - Paunang pag-setup
Pinagmulan
isang dapat basahin. Hindi ako magsusulat ng manual para sa Mikrotik
mga maybahay”, tulad ng “kunin ang kable sa iyong kanang kamay...” Dito ko ipahiwatig
mga milestone lamang, mga hakbang. At kung paano eksaktong gawin ito - sa itaas
pinagmumulan.
ginagamit ko command line terminal sa pamamagitan ng Winbox at ibibigay ko ang lahat ng mga halimbawa sa form na ito.
1. I-reset ang mga paunang setting:
/system reset-configuration
2. I-download ang Upgrade package at i-drag ito sa Winbox gamit ang mouse. Susunod:
/system reboot
at pagkatapos ng reboot :
/pag-upgrade ng system routerboard
3. Lumilikha ako ng tulay mula sa huling tatlong port:
/interface bridge
magdagdag ng pangalan=Local_Net
magdagdag ng bridge=Local_Net interface=ether3
magdagdag ng bridge=Local_Net interface=ether4
magdagdag ng bridge=Local_Net interface=ether5
4. Nagtalaga ako ng IP address sa tulay na ito:
/ip address add address=192.168.1.1/24 interface=Local_Net
5. Mag-set up ng DHCP server dito:
/ip dhcp-server setup
Hayaang ibigay nito ang address ng Mikrotik mismo bilang DNS server: 192.168.1.1. Ipapaliwanag ko kung bakit ito ay ilang sandali.
6. Payagan ang router na tumugon sa mga kahilingan sa DNS:
/ip dns set allow-remote-requests=yes
Huminga tayo: ngayon ay nakamit na natin ang out-of-the-box na D-Link functionality :)
7. Sa payo ni Sergei Lagoovsky, palagi kong binabago ang pangalan ng superuser:
/user add name=supername password=superpass group=full
/quit
Mag-log in bilang bagong user at huwag paganahin ang luma:
/user huwag paganahin ang admin
8. Magtalaga ng time server at time zone:
/system ntp client set enabled=yes mode=unicast primary-ntp=83.229.137.52 secondary-ntp=213.141.146.135
/system clock set time-zone-name=Europe/Moscow
9. I-set up ang mga koneksyon sa Internet.
Kukunin ko ang mahirap na kaso ng dalawang hindi pantay na provider:
- Una
nagbibigay ang provider ng Internet sa pamamagitan ng PPPoE sa ADSL: 8 Mbit incoming/0.8 Mbit
papalabas. Ang IP address at iba pang network settings ay ibinibigay ng provider
pabago-bago. - Ang pangalawa ay napakataas na kalidad, ngunit mahal sa mga tuntunin ng optika: isang simetriko channel na 1 Mbit. Ang IP address at mga setting ay static (permanente)
9.1. Pagse-set up ng unang provider.
Inilipat namin ang aming ADSL modem sa Bridge mode. Isaksak namin ang cable sa unang port (ether1).
Lumikha at i-configure ang interface ng PPPoE:
/interface pppoe-client add name=UTK user=ppp_user password=ppp_pasw use-peer-dns=yes interface=ether1
Kung mayroon lamang isang provider, maaari naming idagdag ang " add-default-route=oo"Pero may iba tayong gawain.
"gamitin-peer-dns" nangangahulugan na gagamitin namin ang mga DNS server na itinalaga ng ISP para sa koneksyon na ito.
/ip address print
/ping mail.ru
upang matiyak na gumagana ang koneksyon.
9.2. Pagse-set up ng pangalawang provider.
I-plug namin ang cable mula sa media converter papunta sa pangalawang port at manu-manong ipasok ang mga setting:
/ip address add address=80.45.21.34/30 interface=ether2
Kung ang iyong provider ay nagbibigay ng sarili nitong mga DNS server, maaari mong itakda ang mga ito nang tahasan:
/ip dns set servers=ip_server1,ip_server2
At maaari kaming magtalaga ng anumang available sa publiko, tulad ng mga Google: 8.8.8.8,8.8.4.4.
Hayaan mong ipaalala ko sa iyo,
na salamat sa hakbang 6 ang aming router ay isang DNS server para sa lokal
mga network. Ngunit siya mismo, tulad ng isang malambot na guya, ay sumisipsip ng dalawang reyna, nang di-makatwiran
sa pamamagitan ng pag-access sa mga DNS server ng anumang provider.
10. Paganahin ang pagsasalin ng address.
Para sa provider 1:
/ip firewall nat magdagdag ng chain=srcnat action=masquerade protocol=tcp out-interface=UTK
Maaari mong gawin ang parehong para sa pangalawa, ngunit kami ay magiging aesthetic. Dahil permanente ang aming address, ginagamit namin ang SNAT sa halip na mag-masquerade:
/ip firewall nat magdagdag ng chain=srcnat action=src-nat protocol=tcp src-address=192.168.1.0/24 sa-address=80.45.21.34
Kung ang aming mga provider ay katumbas, magagawa namin ito:
/ip ruta magdagdag ng dst-address=0.0.0.0/0 gateway=UTK,ether2 check-gateway=ping
Agad kaming nakakakuha ng fault tolerance at pare-parehong pamamahagi ng pagkarga (pantay na mga landas).
Pinapayuhan ko kayong subukan ito at makipaglaro sa mga lokal na computer
"tracert mail.ru", hindi pinapagana ang isa o ang isa pa dulo sa harap -
para lang suriin.
Kung ang mga provider ay hindi pantay-pantay lamang sa kapal ng channel, magagawa mo ito:
/ip ruta magdagdag ng dst-address=0.0.0.0/0 gateway=UTK,UTK,ether2 check-gateway=ping
Ngayon ang unang provider ay makakatanggap ng dalawang beses na mas maraming stream kaysa sa pangalawa.
Ngunit ang aming gawain ay medyo mas kumplikado, dahil ang mga tagapagkaloob ay hindi pantay-pantay hindi lamang sa dami, kundi pati na rin nang may husay.
11. Samakatuwid, hiwalay kaming magtatalaga ng mga ruta sa kanila at bibigyan sila ng iba't ibang mga kagustuhan (distansya).
Para sa unang provider ang pinakamadaling paraan ay gawin ito:
/interface pppoe-client set 0 add-default-route=yes
Bagama't maaari naming gawin ito sa talata 9.1, nagpasya akong i-highlight ito para sa kaayusan.
Para sa pangalawang provider - tulad nito:
/ip route add dst-address=0.0.0.0/0 gateway=80.45.21.34 distance=2 check-gateway=ping
Ngayon ang aming buong network ay dumadaan sa provider 1, at kung bumaba ito, sa pamamagitan ng provider 2.
12. I-highlight natin ang mahahalagang stream (Skype, SIP) na kailangang ipadala sa network sa pamamagitan ng provider 2.
Dito gagawa ako ng digression sa pagmamarka ng mga packet at koneksyon, dahil ang paksang ito ay medyo kawili-wili.
Retreat 4
Pagmamarka
Ginamit
upang magtakda ng mga label para sa mga partikular na pakete. Ang pagkilos na ito ay maaaring
ipapatupad lamang sa loob ng mangle table. Karaniwang nagtatakda ng mga marka
ginagamit para sa mga pangangailangan ng mga routing packet sa iba't ibang ruta, para sa
mga paghihigpit sa trapiko, atbp. Para sa karagdagang impormasyon, maaari mong
sumangguni sa Linux Advanced Routing at Traffic Control HOW-TO. Hindi
tandaan na ang "tag" ng isang packet ay umiiral lamang sa tagal ng panahon
ang packet ay hindi umalis sa firewall, i.e. Ang label ay hindi ipinadala sa network. Kung
ang mga pakete ay dapat na minarkahan sa anumang paraan upang magamit ang mga marka sa
isa pang makina, maaari mong subukang manipulahin ang mga piraso ng field ng TOS.
Manual:IP/Firewall/Mangle sa Mikrotik Wiki.
Sa
Kapag nagbabasa at nagsusulat ng mga patakaran, mahalagang maunawaan nang malinaw kung nasaan tayo
ipinapahiwatig namin ang palatandaan kung saan kami pumili ng isang packet mula sa stream, at kung saan
Nagsasagawa kami ng pagkilos kasama ang package (tanggapin, tanggihan o tatak ito bilang ganoon)
tanda).
Isaalang-alang ang dalawang panuntunan mula sa artikulo ng PCC:
/ip firewall mangle
idagdag
in-interface=ether2 new-connection-mark=l2tp-out1_conn passthrough=oo
per-connection-classifier=src-address:2/0 src-address=172.16.0.0/16
idagdag
action=mark-connection chain=prerouting dst-address-type=!local
in-interface=ether2 new-connection-mark=l2tp-out2_conn passthrough=oo
per-connection-classifier=src-address:2/1 src-address=172.16.0.0/16
idagdag
action=mark-routing chain=prerouting connection-mark=l2tp-out1_conn
in-interface=ether2 new-routing-mark=to_l2tp-out1 passthrough=oo
idagdag
action=mark-routing chain=prerouting connection-mark=l2tp-out2_conn
in-interface=ether2 new-routing-mark=to_l2tp-out2 passthrough=oo
Sa unang tuntunin namin markahan ang koneksyon(action=mark-connection) sa prerouting chain. Sinundan ng mga palatandaan,
kung saan namin tinutukoy ang koneksyon na dapat na may label na: uri
mga patutunguhang address - anuman maliban sa address ng router mismo
(dst-address-type=!local), paparating na interface - ether2
(in-interface=ether2), source address - anumang computer mula sa subnet
172.16.0.0/16. Ang sumusunod ay isang napakagandang utos:
per-connection-classifier=src-address:2/0. Ito ay kung paano namin sinisira ang daloy
Ang mga pakete na naaayon sa mga katangiang ito ay nahahati sa dalawa.
Pagkatapos ay itinalaga namin ang label na l2tp-out1_conn sa isang bahagi ng stream, at l2tp-out2_conn sa pangalawa.
Passthrough
isinalin bilang "through and through". Sa totoo lang, ang bawat packet ay sunud-sunod
ay sinusuri laban sa bawat panuntunan hanggang sa mangyari ang unang tugma. Paano
nagkataon lamang - agad itong inilipat sa susunod na talahanayan (sa ito
kaso - DNAT) o nawasak kung ang aksyon ay DROP. Ngunit kung tinukoy
passthrough=oo, ang packet ay ipinasa sa susunod na panuntunan sa listahan sa parehong
mesa.
Ang susunod na panuntunan ay markahan ang ginustong
mga landas na susundan (action=mark-routing). Lahat ng koneksyon
may markang l2tp-out1_conn (marka ng koneksyon) tatak din namin ng marka
to_l2tp-out1 (new-routing-mark). At pagkatapos ay sa ikalawang kalahati ng daloy
kumilos tayo nang naaayon.
Hindi ko pa naiintindihan kung ano ang malalim na kahulugan ng sequential marking na ito at kung bakit hindi ka agad makapaglagay ng bagong-routing-mark. Ngunit ang opisyal na manwal sa Mikrotik Wiki ay ganoon din ang ginagawa.
Maaari bang magpaliwanag?
Sa pangkalahatan, may tatlong aksyon na may katulad na pangalan na dapat maunawaan:
- marka-koneksyon
- mark-packet
- mark-routing
mark-routing
- maglagay ng marka na tinukoy ng parameter ng new-routing-mark sa isang packet.
Ang ganitong uri ng mga marka ay ginagamit para sa mga layunin ng pagruruta ng patakaran lamang
Ang pagkilos na ito ay naglalagay ng marka na eksklusibong ginagamit kapag pumipili ng landas para sa karagdagang pagpapasa. Halimbawa:
/ip ruta
magdagdag ng dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
magdagdag ng dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping
Ngunit kung sakaling masira ang isa sa mga landas, dapat mo ring gawin pangkalahatang tuntunin nang walang reference sa mga label:
magdagdag ng dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
magdagdag ng dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping
Ngunit ano ang pagkakaiba sa pagitan ng mark-packet at mark-connection?
Malinaw, ang parehong bagay na nagpapakilala sa isang packet mula sa isang koneksyon.
Nabasa namin:
Pagmamarka
ang bawat packet ay medyo mahal na mapagkukunan lalo na kung ang panuntunan ay kailangang tumugma
laban sa maraming mga parameter mula sa IP header o listahan ng address na naglalaman
daan-daang entry
Ang pagba-brand sa bawat pakete ay napakamahal
kasiyahan, lalo na kung ang panuntunan ay naglalaman ng maraming mga palatandaan para sa
paghahambing mula sa isang IP packet header o address sheet na naglalaman ng daan-daan
mga tala.
Nagpapatuloy ito upang pag-usapan ang tungkol sa backbreaking na gawain ng mga router,
nabibigatan kumplikadong mga tuntunin sinusuri ang bawat packet sa 100-megabit
mga network. Ang computational load sa processor ay mabilis na lumalaki, na
mahalagang ginagawang imposibleng gamitin ang pamamaraang ito ng pagmamarka
kapag namamahala ng malalaking daloy ng data.
Quote:
Sa kabutihang palad kung ang pagsubaybay sa koneksyon ay pinagana, maaari kaming gumamit ng mga marka ng koneksyon upang i-optimize ang aming setup.
Sa kabutihang-palad, kung pinagana ang pagsubaybay sa koneksyon, maaari naming i-flag ang mga koneksyon, na higit na mas mahusay!
Dito
ito ay isang bentahe ng pagtatrabaho sa mataas na antas ng imahe. Ang mas mataas
antas ng generalization, mas kaunting trabaho ang kailangan mong gastusin
pagkamit ng layunin!
/ip firewall mangle
magdagdag ng chain=forward protocol=tcp port=!80 dst-address-list=first connection-state=new action=mark-connection \
bagong-koneksyon-mark=una
magdagdag ng chain=forward connection-mark=first action=mark-packet new-packet-mark=first passthrough=no
Magdagdag ng chain=forward protocol=udp dst-address-list=second connection-state=new action=mark-connection \
bagong-koneksyon-mark=pangalawa
magdagdag ng chain=forward connection-mark=second action=mark-packet new-packet-mark=second passthrough=no
Quote:
Ngayon
susubukan ng unang panuntunan na tumugma sa data mula sa header ng IP mula lamang sa unang packet
ng bagong koneksyon at magdagdag ng marka ng koneksyon. Ang susunod na panuntunan ay hindi na
suriin ang IP header para sa bawat isa packet, ihahambing lamang nito ang mga marka ng koneksyon
na nagreresulta sa mas mababang pagkonsumo ng CPU. Bilang karagdagan passthrough=no ay
idinagdag na nakakatulong upang mas mabawasan ang pagkonsumo ng CPU.
Kapansin-pansin, sinusuri ng unang panuntunan ang data lamang sa header ng unang packet ng isang bagong koneksyon, isinasaalang-alang na sa loob ng koneksyon na ito ang lahat ng iba ay magkakasabay dito. Susunod na panuntunan, sa halip na suriin ang header ng bawat packet, tinitingnan lamang nito ang label ng koneksyon, na makabuluhang binabawasan ang pagkarga ng CPU. Bilang karagdagan, ang "passthrough=no" na panuntunan ay agad na nakakagambala sa pagpasa ng mga packet sa talahanayang ito at inililipat ang mga ito sa susunod, na nagpapagaan din sa CPU!
Ooh... Nakakalito na lansihin! Ngayon ay malinaw na kung bakit, sa halimbawa sa PCC, una naming minarkahan ang koneksyon, at pagkatapos, batay sa markang ito, naglagay kami ng pangalawa - tungkol sa pagruruta.
Ngunit lumitaw ang mga tanong.
Una: paano mo mauunawaan na ang isang packet ay kabilang sa isang partikular na koneksyon nang hindi tinitingnan ang header nito? Obviously - walang paraan. Nangangahulugan ito na ang bawat packet ay pinoproseso nang hiwalay sa anumang kaso, ngunit ito ay nangyayari sa labas ng IPTables at hindi ito nagdudulot ng anumang espesyal na pagkarga sa CPU, kumpara sa pagproseso ayon sa isang listahan ng mga panuntunan sa loob ng IPTables.
At ang pangalawang tanong: paano mo mamarkahan ang isang koneksyon?
Kung ang lahat ay medyo malinaw sa pakete: mayroon itong isang header kung saan gumawa tayo ng mga pagbabago, kung gayon ano ang tunay na pagpapahayag ng konsepto ng "koneksyon" kung saan maaari tayong magtrabaho? Ano ang minarkahan natin?
> Pagrereserba ng mga channel sa Mikrotik nang walang mga script
Mikrotik. Failover. Pagbalanse ng Load
Noong kailangan kong malaman kung paano gawin ang failover o load balancing, pagkakaroon ng dalawa o higit pang mga channel sa mundo, nakakita ako ng maraming artikulo at tagubilin na naglalarawan ng mga gumaganang configuration. Ngunit halos wala akong nakitang paliwanag kung paano gumagana ang lahat o isang paglalarawan ng mga pagkakaiba. iba't ibang mga pagpipilian. Gusto kong iwasto ang kawalan ng katarungan na ito at kolektahin ang pinakasimpleng mga opsyon para sa pagbuo ng failover at load balancing configuration sa isang artikulo.Kaya, mayroon kaming router na kumokonekta sa aming lokal na network at dalawang channel sa Internet (pangunahing ISP1 at backup na ISP2).
Tingnan natin kung ano ang maaari nating gawin:
Mayroon na kaming backup na channel kung saan maaaring idirekta ang trapiko kung nabigo ang pangunahing isa. Ngunit paano mo ipaunawa sa mikrotik na bumagsak ang channel?
Ang pinakasimpleng pagpapareserba ng channel
Ang pinakasimpleng failover ay maaaring i-configure gamit ang priority ng ruta (distansya para sa mikrotik/cisco, metric para sa linux/windows), pati na rin ang mekanismo para sa pagsuri sa availability ng gateway - check-gateway.Sa configuration sa ibaba, ang lahat ng trapiko sa Internet bilang default ay dumadaan sa 10.100.1.254 (ISP1). Ngunit sa sandaling maging hindi available ang address na 10.100.1.254 (at hindi aktibo ang rutang dadaan dito), dadaan ang trapiko sa 10.200.1.254 (ISP2).
pagsasaayos: simpleng failover
# Mag-set up ng mga network ng provider:
###Pagtitiyak ng redundancy ng channel tradisyonal na paraan###
# tumukoy ng 2 default na gateway na may iba't ibang priyoridad
/ip route add dst-address=0.0.0.0/0 gateway=10.100.1.254 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=10.200.1.254 distance=2 check-gateway=ping
Ang check-gateway=ping para sa mikrotik ay pinoproseso tulad nito:
Pana-panahon (bawat 10 segundo) ang gateway ay sinusuri sa pamamagitan ng pagpapadala ng ICMP packet (ping) dito. Itinuturing na nawala ang isang packet kung hindi ito ibabalik sa loob ng 10 segundo. Pagkatapos ng dalawang nawalang packet, ang gateway ay itinuturing na hindi magagamit. Pagkatapos makatanggap ng tugon mula sa gateway, magiging available ito at na-reset ang nawalang packets counter.
Tinitiyak ang failover na may mas malalim na pagsusuri sa channel.
Sa nakaraang halimbawa, maayos ang lahat, maliban sa sitwasyon kung kailan nakikita at tumutugon ang gateway ng provider, ngunit walang Internet sa likod nito. Malaki ang maitutulong sa amin kung makakapagdesisyon kami tungkol sa posibilidad ng isang provider sa pamamagitan ng pag-ping hindi sa mismong gateway, kundi isang bagay sa likod nito.May alam akong dalawang opsyon para sa paglutas ng problemang ito sa engineering. Ang una at pinakakaraniwan ay ang paggamit ng mga script, ngunit dahil hindi kami humipo ng mga script sa artikulong ito, tatalakayin namin nang mas detalyado ang pangalawa. Ito ay nagpapahiwatig ng hindi ganap na tamang paggamit ng parameter ng saklaw, ngunit makakatulong ito sa amin na suriin ang channel ng provider nang mas malalim kaysa sa gateway.
Ang prinsipyo ay simple:
Sa halip na ang tradisyunal na indikasyon ng default gateway=provider's gateway, sasabihin namin sa router na ang default gateway ay isa sa always_available_nodes (halimbawa 8.8.8.8 o 8.8.4.4) at ito naman, ay naa-access sa pamamagitan ng gateway ng provider.
configuration: failover na may mas malalim na pagsusuri sa channel
# Mag-set up ng mga network ng provider:
/ip address add address=10.100.1.1/24 interface=ISP1
/ip address add address=10.200.1.1/24 interface=ISP2
# I-set up ang lokal na interface
/ip address add address=10.1.1.1/24 interface=LAN
# itago sa likod ng NAT lahat ng lumalabas lokal na network
/ip firewall nat magdagdag ng src-address=10.1.1.0/24 action=masquerade chain=srcnat
###Pagbibigay ng failover ng mas malalim na pagsusuri sa channel###
#gamit ang scope parameter tutukuyin namin ang mga recursive path sa mga node 8.8.8.8 at 8.8.4.4
/ip ruta magdagdag ng dst-address=8.8.8.8 gateway=10.100.1.254 saklaw=10
/ip ruta magdagdag ng dst-address=8.8.4.4 gateway=10.200.1.254 saklaw=10
# tukuyin ang 2 default na gateway sa pamamagitan ng mga node ang path kung saan tinukoy nang recursively
/ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping
Ngayon tingnan natin kung ano ang nangyayari nang mas detalyado:
Ang trick ay hindi alam ng gateway ng provider na ang 8.8.8.8 o 8.8.4.4 ay isang router at iruruta ang trapiko sa karaniwang daanan.
Naniniwala ang aming mikrotik na bilang default ang lahat ng trapiko sa Internet ay dapat ipadala sa 8.8.8.8, na hindi direktang nakikita, ngunit naa-access sa pamamagitan ng 10.100.1.254. At kung mawala ang ping sa 8.8.8.8 (paalalahanan kita na ang landas patungo dito ay mahigpit na tinukoy sa pamamagitan ng gateway mula sa ISP1), pagkatapos ay magsisimulang ipadala ng mikrotik ang lahat ng trapiko sa Internet sa 8.8.4.4, o sa halip sa recursively na tinukoy na 10.200 .1.254 (ISP2).
D ilang oras ng araw. Noong isang araw, nalito ako tungkol sa pag-aayos ng fault tolerance ng aking CCR1036-8G-2S+. Tumingin ako sa maraming materyal sa Internet, ngunit karamihan sa mga ito ay hindi nababagay sa akin. At pagkatapos ay nakatagpo ako ng isang kapaki-pakinabang na ganap na angkop para sa paglutas ng aking mga problema. Ang setup sa ibaba ay 100% gumagana.
Napag-isipan na namin ang opsyon ng pagkonekta ng dalawang Internet provider sa isang router, na kinokontrol ng operating system Mikrotik RouterOS.
Gayunpaman, ito ang pinakasimpleng opsyon. Na maaaring hindi palaging angkop sa ilang partikular na kundisyon. Samakatuwid, ngayon, kukuha kami ng ilang mga tiyak na halimbawa ng pag-configure ng isang router na may kondisyon ng pagkonekta sa dalawang provider, at tatalakayin nang mas detalyado ang ilan sa mga nuances ng pag-configure ng Firewall, NAT, pagruruta at pagbabalanse ng pag-load o paggamit ng pangalawa. channel bilang backup.
At dahil ang karagdagang kuwento ay maglalaman ng mga tiyak na halimbawa, sisimulan natin ito sa mga tiyak na kundisyon. Mayroon kaming 2 provider. Ang komunikasyon sa pareho ay itinatag sa pamamagitan ng PPPoE protocol. Paano mag-set up ng koneksyon sa isang ISP ay inilarawan nang detalyado sa artikulong ito, kaya laktawan namin ang prosesong ito. Tandaan lamang na ang provider No. 1 ay konektado sa Ether1 port, at ang pangalan ng PPPoE na koneksyon nito ay ISP1. Ang Provider No. 2 ay konektado sa Ether2 port at mayroong PPPoE na pangalan ng koneksyon - ISP2.
Ang tanging punto ay na sa hinaharap kami mismo ang gagawa ng mga panuntunan sa pagruruta, kaya kapag gumagawa ng mga koneksyon sa mga provider, kailangan mong alisan ng tsek ang item na Magdagdag ng Default na Ruta sa tab na Dial Out para sa isang koneksyon sa PPPoE.NAT
Upang gumana nang tama ang aming network at magkaroon ng access sa Internet, kailangan naming i-configure ang NAT. Upang gawin ito, buksan ang seksyon ng IP -> Firewall, pumunta sa tab na NAT at gamitin ang button na “+” upang magdagdag ng bagong panuntunan. Sa tab na General, piliin ang Chain chain scrnat. Out field value. Interface, sa sa kasong ito
Ang aming susunod na hakbang ay ang pag-setup Mga function ng firewall, na idinisenyo upang protektahan ang aming lokal na network.
Pumunta tayo sa tab na Mga Panuntunan ng Filter, kung saan kailangan nating lumikha ng isang bilang ng mga pangunahing panuntunan, ayon sa kung saan ang pagpasa ng mga packet sa pamamagitan ng aming router ay maaayos.
Kung mayroon kang anumang mga panuntunan sa seksyong ito, dapat mo munang tanggalin ang mga ito.
Maaaring magdagdag ng mga bagong panuntunan sa pamamagitan ng pagpindot sa pindutang "+", pagkatapos nito, halimbawa, para sa panuntunang nagpapahintulot sa ping - chain=input protocol=icmp action=accept, sa tab na General, pipiliin namin ang chain Chain - input, at ang Protocol - icmp.
Payagan si Ping
chain=input protocol=icmp action=accept
chain=forward protocol=icmp action=accept
Pagpapahintulot sa mga naitatag na koneksyon
chain=input connection-state=established action=accept
chain=forward connection-state=established action=accept
Pinapayagan ang mga kaugnay na koneksyon ako
chain=input connection-state=related action=accept
chain=forward connection-state=related action=accept
Ipinagbabawal namin ang mga hindi matagumpay na koneksyon
Chain=input connection-state=invalid action=drop
chain=forward connection-state=invalid action=drop
Payagan ang mga koneksyon sa pamamagitan ng UDP protocolchain=input protocol=udp action=accept
chain=forward protocol=udp action=accept
Binubuksan namin ang access sa Internet para sa aming lokal na network. Para sa mga may prefix ng lokal na network na iba sa 192.168.0.0/24, ilagay sa halip ang iyong address.
chain=forward src-address=192.168.0.0/24 action=accept
Pinapayagan namin ang pag-access sa router mula lamang sa lokal na network, tulad ng nasa itaas - 192.168.0.0/24 ay dapat mapalitan ng iyong address.
chain=input src-address=192.168.0.0/24 action=accept
At sa huli, ipinagbabawal namin ang lahat ng iba pa
chain=input action=drop
chain=forward action=drop
Malinaw na ang pagbubukas ng isang bagong window sa bawat oras at pagpuno ng lahat ng kinakailangang mga patlang ay medyo nakakapagod, samakatuwid, inirerekumenda kong buksan ang Bagong Terminal at itakda ang mga utos na nakalista sa ibaba nang paisa-isa. Kakailanganin ito ng mas kaunting oras.
ip firewall filter magdagdag ng chain=forward protocol=icmp action=accept
ip firewall filter magdagdag ng chain=input connection-state=established action=accept
ip firewall filter magdagdag ng chain=forward connection-state=established action=accept
ip firewall filter magdagdag ng chain=input connection-state=related action=accept
ip firewall filter magdagdag ng chain=forward connection-state=related action=accept
ip firewall filter magdagdag ng chain=input connection-state=invalid action=drop
ip firewall filter magdagdag ng chain=forward connection-state=invalid action=drop
ip firewall filter magdagdag ng chain=input protocol=udp action=accept
ip firewall filter magdagdag ng chain=forward protocol=udp action=accept
ip firewall filter magdagdag ng chain=forward src-address=192.168.0.0/24 action=accept
ip firewall filter magdagdag ng chain=input src-address=192.168.0.0/24 action=accept
ip firewall filter magdagdag ng chain=input action=drop
ip firewall filter magdagdag ng chain=forward action=drop
Ngunit kahit anong paraan ang gawin natin, sa huli ay dapat nating makuha ang sumusunod.
Ang huli, ngunit isa sa pinakamahalagang hakbang, ay ang paglikha ng mga ruta. Magsimula tayo sa pamamagitan ng pagmamarka ng ating mga koneksyon sa provider. Ito ay kinakailangan upang ang lahat ng mga kahilingan na dumating sa interface ng isang partikular na provider ay mapunta sa interface nito. Ito ay lubos na kritikal kung tayo ay nasa likod ng NAT at may anumang mga mapagkukunan na kailangang ma-access mula sa pandaigdigang Internet. Halimbawa, isang web server o mail server, atbp. Napag-usapan na namin kung paano ayusin ang pagpapatakbo ng naturang mga serbisyo sa artikulong Mga advanced na setting Mikrotik RouterOS: port forwarding - dstna t.
Upang gawin ito, kailangan naming lumikha ng dalawang magkahiwalay na panuntunan para sa bawat provider sa seksyong IP -> Firewall sa tab na Mangle.
Sa tab na General, piliin ang Chain chain bilang forward, at bilang In.Interface piliin ang PPPoE interface para sa pagkonekta sa unang provider na ISP1.
Ngayon, para makapagpadala ng tugon sa isang papasok na kahilingan sa pamamagitan ng interface ng parehong provider, kailangan naming gumawa ng 2 pang panuntunan na magmamarka ng mga ruta.
Dito, lumikha kami ng bagong panuntunan kung saan pipiliin namin ang halaga ng prerouting bilang Chain, ilagay ang prefix ng aming lokal na network 192.168.0.0/24 sa field ng Scr.Address, at piliin ang marka ng koneksyon ng aming unang provider na ISP1-con sa Cjnnection Mark.
At ngayon, kung mayroon kaming anumang mga mapagkukunan na kailangang ma-access ng eksklusibo sa pamamagitan ng interface ng isang partikular na provider, kailangan naming lumikha ng isang listahan ng mga mapagkukunang ito at markahan ang lahat ng mga koneksyon na may mga address mula sa listahang ito para sa higit pang tamang pagruruta.
Halimbawa, ang provider No. 2 - ISP2 - ay may mga lokal na mapagkukunan na may hanay ng address na 181.132.84.0/22. At sa pamamagitan ng provider No. 1, mag-ping sa mga server ng laro mga online games, mas mababa. At alam namin na ang mga IP address ng mga server na ito ay 90.231.6.37 at 142.0.93.168.
Pumunta sa tab na Mga Listahan ng Address ng seksyong IP -> Firewall. At isa-isa naming idinaragdag ang mga buong IP address o subnet na ito, na may mga pangalang to-ISP1 o to-ISP2, depende sa kung aling provider dapat ma-access ang mga mapagkukunang ito.
At dahil ginagamit ng karamihan sa mga provider sariling DNS mga server, ang pag-access sa kung saan ay madalas na ipinagbabawal mula sa iba pang mga network, kung gayon magiging napakahalaga na idagdag ang mga address ng mga DNS server ng bawat provider sa mga listahang ito, upang ang mga kahilingan sa domain name ay mapunta sa kanila sa pamamagitan ng interface ng isang partikular na provider.
At sa tab na Aksyon, Aksyon - markahan ang pagruruta, Bagong Pagruruta Marka - ISP1-rt.
At magpatuloy tayo sa pinakapangunahing bahagi ng pag-set up ng pagruruta - paggawa ng mga static na panuntunan sa pagruruta sa seksyong IP -> Mga Ruta.
Kung halos magkapantay ang mga channel ng aming parehong provider, idaragdag namin ang sumusunod na ruta: sa tab na Pangkalahatan ng window ng paggawa ng ruta, para sa Dst.Address sumusulat kami ng 0.0.0.0/0, at bilang Getway pipili kami ng mga interface ng aming mga provider ISP1 at ISP2. Ang lahat ng iba pang mga parameter ay naiwang hindi nagbabago.
Sa opsyong ito, ang load sa parehong provider ay ipapamahagi nang pantay-pantay.
Ang unang Dst.Address ay 0.0.0.0/0, ang Gateway ay ISP1.
At ang pangalawang Dst.Address ay 0.0.0.0/0, Gateway ay ISP2, Distansya ay 2.
Ang una ay magkakaroon ng Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt, at ang pangalawa, ayon sa pagkakabanggit, Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt
Ngayon magtrabaho kasama ang dalawang provider ay na-configure nang maayos. Lahat ng mga papasok na koneksyon ay minarkahan at ang mga tugon sa kanila ay ipinapadala sa pamamagitan ng interface kung saan dumating ang kahilingan. Ang mga tawag sa ilang partikular na mapagkukunan ay ipinamamahagi, at ang pag-load sa parehong mga channel ay balanse.
Ang artikulo ay naglalarawan detalyadong mga tagubilin kung paano mag-set up ng reserbasyon ng channel sa internet mula sa dalawang mobile operator sa isang router ng Mikrotik.
|
Makakatanggap ang Mikrotik ng Internet mula sa dalawang built-in na router na Tandem-4GL-OEM. Ang mga router ay gagamit ng dalawang magkaibang SIM card mga mobile operator. Ang isa sa mga operator ay gagamitin bilang pangunahing channel sa Internet, ang pangalawa - bilang isang backup. Kung nawala ang Internet sa pangunahing channel, dapat ilipat ng Mikrotik ang Internet sa backup na channel. Kapag nagpatuloy ang pangunahing channel, awtomatikong lumipat sa pangunahing channel. Ang resulta ay isang napaka-stable na channel sa Internet mula sa dalawang mobile operator, na maaaring magamit sa mga malalayong site kung saan ginagamit ang 3G/4G Internet. |
Kawili-wili:
|
Para sa Internet, gumagamit kami ng dalawang port ng Mikrotik router: 1st at 5th. Ang 5th port (POE out) ay may kakayahang mag-power ng mga device sa mga twisted pair na cable (Power over Ethernet), kaya maginhawang gamitin ito;
Ang parehong mga port ay iko-configure upang makatanggap nang pabago-bago mga setting ng network sa pamamagitan ng DHCP. Bilang default, ang mga Tandem-4GL-OEM router ay may sariling IP address na 192.168.1.1. Gagamitin namin ang 2 sa mga router na ito, kaya dapat na i-configure ang isa sa mga ito sa ibang subnet.
Upang gawin ito, direktang ikonekta ang Tandem-4GL-OEM sa iyong computer at pumunta sa Web interface sa 192.168.1.1. Pumunta sa menu ng Network - Mga Interface - i-click ang pindutang I-edit ang interface ng LAN.
Magrehistro ng bagong IP address para sa router. Pumasok kami sa 192.168.2.1. Sa kasong ito, awtomatikong ipapamahagi ng router ang mga IP address na nasa subnet na ito. I-click ang I-save.
Lumipat tayo sa pag-set up ng Mikrotik . Ang isang router na may IP 192.168.2.1 ay backup na channel Internet, ikonekta ito sa 1st port ng Mikrotik router. Ang ika-5 port na may PoE ang magiging pangunahing Internet.
Ilunsad ang Winbox at kumonekta sa router gamit ang MAC address. (nakasulat sa router mismo). Ang default na password ay admin, walang password na tinukoy
Gamit ang Winbox program na ni-reset namin pagsasaayos ng pabrika bilang default, upang i-configure ang MikroTik router para sa dalawang provider mula sa simula:
- Buksan ang menu System - I-reset ang Configuration;
- Lagyan ng check ang No Default Configuration na kahon;
- I-click ang I-reset ang Configuration.
Kumonekta muli sa Mikrotik gamit ang Winbox.
I-set up natin ito Mga LAN port 2-4 at Wi-Fi. Ang mga port na ito ay pagsasamahin sa isang solong lokal na network. Para magawa ito, gagawa kami ng Bridge interface at idagdag ang ethe2-ether4 at wlan1 na mga interface dito.
Buksan ang menu ng Bridge, i-click ang +, ipasok ang pangalan ng interface sa field na Pangalan, at i-click ang OK.
Pumunta sa tab na Mga Port ng menu ng Bridge. Idagdag natin ang lahat ng port na ether2-erher4 at wlan1.
- Upang gawin ito, pindutin ang +;
- Sa listahan ng Interface, piliin ang ether2;
- Sa listahan ng Bridge, piliin ang bridge-local na interface, i-click ang OK.
Ulitin ang operasyon para sa natitirang mga ether port at para sa Wi-Fi - wlan1.
Magtalaga ng IP address sa interface ng tulay:
- Buksan ang menu ng IP - Mga Address;
- I-click ang + button;
- Sa Address field, ipasok ang IP address at local network mask 192.168.88.1/24;
- Sa listahan ng Interface, piliin ang bridge local network interface, i-click ang OK.
Pag-set up nito DHCP server lokal na network.
Upang matiyak na ang mga computer na nakakonekta sa router ay awtomatikong makakatanggap ng mga setting ng network, iko-configure namin ang isang DHCP server:
Buksan ang menu ng IP - DHCP Server at i-click ang DHCP Setup button
- Sa unang window, piliin ang interface ng tulay, i-click ang Susunod;
- Sa pangalawang window, ang network para sa pamamahagi ng DHCP ay na-configure, iwanan itong hindi nagbabago, Susunod;
- Sa ikatlong window, ang address ng gateway ay ipinahiwatig, iwanan itong hindi nagbabago, Susunod;
- Ang hanay ng mga IP address ay maaaring iwanang hindi nagbabago, Susunod;
- Ang oras ng pag-upa ng DHCP ay maaaring iwanang hindi nagbabago, Susunod, OK.
Pag-setup ng Wi-Fi
- Buksan ang menu ng Wireless;
- Mag-click sa interface ng wlan1 at i-click ang button na Paganahin (asul na checkmark).
Gumawa ng password para kumonekta sa MikroTik access point:
- Buksan ang tab na Mga Profile sa Seguridad at gawin i-double click kaliwang pindutan ng mouse bilang default;
- Sa lalabas na window, sa listahan ng Mode, piliin ang mga dynamic na key;
- Lagyan ng check ang kahon sa tabi ng pagpaparehistro gamit ang WPA2 PSK protocol;
- Sa field ng WPA2 Pre-Shared Key, ilagay ang password para kumonekta sa Wi-Fi point; OK.
Pagse-set up ng mga parameter Mga Wi-Fi point MikroTik:
- Buksan ang tab na Mga Interface at i-double click nang naka-on ang kaliwang pindutan ng mouse Interface ng Wi-Fi wlan1 upang ipasok ang mga setting nito;
- Pumunta sa Wireless na tab, sa listahan ng Mode, piliin ang ap bridge operating mode;
- Ilagay ang iyong pangalan sa field ng SSID Mga Wi-Fi network, OK. Maaari mo ring i-configure ang iba pang mga setting.
Pag-set up ng mga Internet port
Kino-configure namin ang port 5 upang dynamic na makatanggap ng mga setting ng network mula sa provider sa pamamagitan ng DHCP.
- Buksan ang menu ng IP - DHCP Client;
- I-click ang Add button (asul na krus);
- Sa lalabas na window, sa listahan ng Interface, piliin ang interface ng ether1;
- Magdagdag ng Default na Ruta piliin ang Hindi; OK.
Gawin natin ang parehong para sa port ether1
Pag-set up ng paglipat ng mga channel sa Internet sa pagitan ng dalawang provider
Upang i-configure ang paglipat ng channel sa Internet sa pagitan ng dalawang provider, gagamitin namin ang Mga Ruta at ang built-in na Netwatch utility.
Magkakaroon tayo ng dalawang ruta kung saan maaaring pumunta ang trapiko sa Internet. Ang lahat ng trapiko ay dadaan sa unang provider bilang default.
Kung biglang mawawala ang koneksyon sa 1st provider, pagkatapos ay i-activate namin ang 2nd route, at lahat ng traffic ay dadaan sa 2nd provider.
Sa sandaling maibalik ang koneksyon sa pamamagitan ng 1st provider, i-deactivate namin ang 2nd route, at lahat ng trapiko ay dadaan sa 1st provider.
Tutulungan ka ng Netwatch utility na mag-ping ng isang IP address sa Internet at magsagawa ng mga script kung ang IP address ay tumigil sa pag-ping o nagsimulang mag-ping muli. Magsasagawa ito ng activation at deactivation ng ruta.
Magdagdag tayo ng 2 ruta. Upang gawin ito, pumunta sa menu ng IP - Mga Ruta. I-click ang + upang magdagdag ng bagong ruta
Ipasok ang mga parameter tulad ng sa figure at i-click ang pindutan ng Komento.
Sa patlang ng Komento ipasok ang ISP1. Ito ay kinakailangan upang matukoy ang ruta kapag lumilipat sa reserba at pabalik.
I-click ang OK sa parehong mga window, magdagdag muli ng bagong ruta at ulitin ang mga hakbang para sa pangalawang Internet.
- Sa field ng Gateway papasok tayo sa 192.168.2.1
- Sa field na Distansya - 3
- Sa Komento - ISP2
Magdagdag tayo ng ruta para sa ping command. Magdagdag muli ng bagong ruta gamit ang + button. Ipasok ang data tulad ng ipinapakita sa larawan, i-click ang Komento. Tumawag kami interface ng Google, dahil Ito ang address na ipi-ping namin.
Idagdag sa Panuntunan ng firewall, na magbabawal sa pag-ping ng IP address 8.8.4.4 sa pamamagitan ng 2nd provider. Kung hindi, iisipin ng utility ng Netwatch na ang koneksyon sa unang provider ay naibalik at patuloy na lilipat ng mga ruta sa isang bilog.
- Buksan ang menu ng IP - Firewall at pumunta sa tab na Mga Panuntunan ng Filter;
- I-click ang + button;
- Sa listahan ng Chain, piliin ang Output;
- Sa patlang ng Dst. Ilagay ang address sa address ng server 8.8.4.4;
- Sa listahan ng Out. Piliin ang interface ng ether1;
- Pumunta sa tab na Aksyon;
Sa listahan ng Aksyon, piliin ang I-drop, i-click ang OK.
Pagse-set up ng script para sa paglipat sa isang backup na channel
Susubukan ng Netwatch ang pagkakakonekta sa internet sa pamamagitan ng pag-ping sa server ng Google na may IP address na 8.8.4.4. Sa sandaling huminto ang server sa pag-ping, isang script ang ipapatupad na mag-a-activate sa 2nd route at ang trapiko ay dadaan sa 2nd provider. Sa sandaling maibalik ang koneksyon sa pamamagitan ng 1st provider, isa pang script ang isasagawa, na magde-deactivate sa 2nd route at dadaan ang trapiko sa 1st provider.
- Buksan ang menu na Mga Tool - Netwatch;
- I-click ang add button (asul na plus sign);
- Sa field ng Host, ipasok server ng Google 8.8.4.4, na ipi-ping ng utility;
- Sa patlang ng Interval, tukuyin ang agwat ng oras pagkatapos mag-ping ang server, itinakda namin ito sa 15 s.
- Pumunta sa tab na Pababa;
Sa tab na Pababa, ipasok ang script ng /ip route enable
I-a-activate ng script na ito ang ruta sa pamamagitan ng pangalawang provider kung hihinto sa pag-ping ang server ng Google. Pumunta sa tab na Pataas.
Sa tab na Pataas, ipasok ang script ng /ip route disable.
Ide-deactivate ng script na ito ang ruta sa pamamagitan ng pangalawang provider kung maibabalik ang koneksyon sa unang provider. I-click ang OK.
Sinusuri ang paglipat ng Internet sa pagitan ng dalawang provider
Buksan ang menu ng IP - Mga Ruta. Ang ruta ng pangalawang provider ay dapat na kulay abo, ibig sabihin. hindi aktibo.
Idiskonekta ang cable mula sa 1st provider mula sa router. Sa Mga Ruta, dapat na i-activate ang ruta ng pangalawang provider.
Tingnan kung available ang Internet. Ikonekta muli ang cable mula sa pangunahing Internet. Ang paglipat ay dapat mangyari sa loob ng 15 s.
Upang makatipid ng trapiko, ipinapayong taasan ang oras ng ping mula sa 1 minuto.
Posible rin ang iba pang mga opsyon sa pagpapareserba.
Failover - sa Russian ito ay isang reserbasyon ng mga channel sa Internet, na lumilipat sa kaganapan ng pagkabigo ng pangunahing channel sa Internet sa isang backup.
Kaya mayroon kaming Mikrotik, 2 provider ang konektado dito (ISP1 at ISP2), at ang iyong network, kinakailangan na awtomatikong lumipat sa backup kapag nabigo ang pangunahing channel sa Internet.
1. Paraan, ang failover ay ginagawa sa pamamagitan ng mga ruta, ang kailangan mo lang gawin ay magrehistro ng dalawang ruta, isa sa ISP1 at ang pangalawa sa ISP2, pagpili ng ping o arp sa item na "Check Gateway". Sa aking opinyon, ang ping ay mas angkop para sa karamihan ng mga kaso. Sa parehong paraan, irehistro ang ruta sa pangalawang provider. Ito ay pinaka-maginhawa para sa akin upang i-set up ang Mikrotik gamit ang mga ruta ng Winbox ay nakarehistro sa menu ng IP-Routes.
Kung sa Distansya ay itinalaga mo, halimbawa, 1 sa isang provider at 2 sa pangalawa, pagkatapos ay awtomatikong balansehin ng Mikrotik ang pagkarga, kapag fully load na mula sa unang provider, mapupunta ang mga bagong kahilingan sa pangalawa.
Ang pamamaraang ito ay may ilang mga limitasyon:
— Kung ang isa sa mga provider ay magbibigay sa iyo ng isang dynamic na IP at ang mga setting ay dumating sa pamamagitan ng DHCP, pagkatapos ay hindi ka makakapagrehistro ng isang ruta sa pamamagitan ng pagtukoy ng pangalan ng interface na kailangan mong ipasok ang gateway ip sa field na "Gateway".
— Minsan may mga sitwasyon kapag gumagana ang gateway ng provider, ngunit hindi available ang mga node sa likod nito, isasaalang-alang ng Mikrotik na gumagana ang ruta, hindi mangyayari ang paglipat, at hindi gagana ang Internet.
2nd Option Failover sa Mikrotik nang walang mga disadvantages ng unang paraan.
Ang Mikrotik ay may built-in na Netwatch (na matatagpuan sa menu ng Mga Tool). Sa madaling salita, pinapayagan ka ng utility na ito na mag-ping ng anumang ip at magsagawa ng mga utos kung nagbabago ang kakayahang magamit ng ip address, sa Pataas ay ipinasok namin ang mga utos na isinasagawa kapag naging available muli ang ip, sa Pababa ipinasok namin ang mga utos na kailangang isagawa kapag naging hindi available ang ip.
Ang kakanyahan ay malinaw mula sa larawan, i-click ang asul na plus, ipasok ang IP kung saan susuriin natin ang pagganap ng channel, ang agwat ng pagsubok, itinakda ko ito sa halos isang minuto, mas kaunti o higit pa ang maaaring gawin.
Oo, kailangan mo munang magtakda ng mga komento para sa mga ruta. Pinaka-maginhawa para sa akin na i-set up ang Mikrotik sa pamamagitan ng Winbox, upang magtakda ng komento para sa isang ruta, pumunta sa IP-Routes, magbubukas ang isang window na may listahan ng mga ruta, ang pindutan para sa pagtatakda ng komento ay bilugan, piliin ang nais na ruta, i-click ang button, maglagay ng komento para sa ruta, i-click ang ok.
Ang larawan ay nagpapakita ng script na gumagana, ang ruta sa ISP2 (Mayroon akong Utel) ay hindi aktibo, ito ay kulay abo, at ang ruta sa ISP1 (Mayroon akong Stels) ay aktibo. Sa ibaba makikita mo ang ruta na may komento ni Stels88, ito ay kinakailangan upang ang mga ping sa 8.8.4.4, na ginagamit namin sa mga script, ay mula lamang sa ISP1, ito ay kinakailangan upang masubaybayan ang pagganap ng ISP1, ang mga ping ay maayos, kung walang mga tugon sa mga ping, pagkatapos ay kailangan mong lumipat sa ISP2 . Kung paano ito ginagawa ay makikita sa larawan sa ibaba:
Sa seksyon ng UP isinusulat namin:
/ip route set disabled=no
/ip route set disabled=yes
Sa Pababang seksyon isinulat namin:
/ip route set disabled=yes
/ip route set disabled=no
Upang gumana nang tama ang scheme, kailangan mong payagan ang IP na ito na mag-ping lamang mula sa ISP1, para dito ipinapayong magdagdag ng panuntunan sa IP-Firewall na nagbabawal sa pag-access sa 8.8.4.4 mula sa ISP2, at magparehistro static na ruta hanggang 8.8.4.4 sa pamamagitan ng ISP1 gateway (in normal na mode Hindi ito gagana kung mag-isyu ang ISP1 ng isang dynamic na IP at kakailanganin mong magsulat ng script na tutukuyin ang gateway IP at irehistro ang ruta).
Sponsor ng artikulo:
Tutorial sa MikroTik - teorya at kasanayan sa format ng video.
Sa kursong video "" matututunan mo kung paano i-configure ang isang router mula sa simula para sa mga layunin maliit na opisina. Ang kurso ay batay sa opisyal na programa MikroTik Certified Network Associate, ngunit ito ay makabuluhang pinalawak, lalo na sa mga tuntunin ng pagsasama-sama ng kaalaman sa pagsasanay. Kasama sa kurso ang 162 video lessons at 45 gawain sa laboratoryo, pinagsama sa mga teknikal na detalye. Kung may hindi malinaw, maaari kang magtanong sa may-akda ng kurso. Ang unang 25 mga aralin ay maaaring panoorin nang libre, ang order form ay magagamit sa
