Автор Неизвестен - Настройка RouterOS для одновременной работы с несколькими провайдерами

максимальную distance для маршрута

•

Используйте pref-src для определения src IP адреса
остального трафика
33

Выход с маршрутизатора

/interface bridge
add name=Br-Loopback
/ip route
add gateway=Br-Loopback distance=254 pref-src=1.1.1.2

34

Доступ «за» NAT

35

Доступ «за» NAT
•

Одновременный доступ к внутренним сервисам

•

CDN, SMTP, WEB, etc…

•

DNS Round Robin, как вариант распределения
внешней нагрузки на каналы, современные браузеры
замечательно работают с данной технологией и
отрабатывают отказ
36

Доступ «за» NAT

Настройте dst NAT так, как обычно это делаете

37

Доступ «за» NAT
/ip firewall nat
add chain=dstnat dst-address=1.1.1.2 protocol=tcp \
dst-port=80,25,443 in-interface=ether1 action=dst-nat \
to-addresses=192.168.1.2
add chain=dstnat dst-address=2.2.2.2 protocol=tcp \
dst-port=80,25,443 in-interface=ether2 action=dst-nat \
to-addresses=192.168.1.2

38

Forward

Prerouting/GW/2.2.2.1
Prerouting/GW/1.1.1.1

Ether1 Ether2
39

Forward

Local Interface
40

Forward

Prerouting/GW/2.2.2.1
Prerouting/GW/1.1.1.1

Local Interface
41

Forward

Prerouting/GW/2.2.2.1
Prerouting/GW/1.1.1.1

Local Interface
42

Forward
Ether1

Ether2

Prerouting/GW/2.2.2.1
Prerouting/GW/1.1.1.1

Local Interface
43

Доступ «за» NAT
•

Уже существует маркированное соединение

•

Цепочка Prerouting

•

Исключите интерфейс провайдера из фильтра

•

Отправляется в именную таблицу маршрутизации

44

Доступ «за» NAT
/ip firewall mangle
add chain=prerouting in-interface=!ether1 \
connection-mark=Prerouting/GW/1.1.1.1 action=mark-routing \
new-routing-mark=Next-Hop/1.1.1.1 passthrough=no
add chain=prerouting in-interface=!ether2 \
connection-mark=Prerouting/GW/2.2.2.1 action=mark-routing \
new-routing-mark=Next-Hop/2.2.2.1 passthrough=no

45

Доступ «за» NAT

Нет необходимости NATить данный трафик
За вас это сделает connection-tracker

46

Доступ «за» NAT

47

Доступ «за» NAT

48

Предопределить IP
Адрес

49

Предопределить IP
Адрес
•

Выход хоста из под определённого IP адреса

•

Позволяет организовать работу сложных
протоколов или IP зависимых сервисов

•

Asterisk, банкинг, IPsec c внутренних хостов
etc…
50

Предопределить IP
Адрес
•

Цепочка Prerouting

•

Используйте address-list для определения списка хостов

•

Адрес листы именуйте информативно «via\1.1.1.2»

•

Количество внутрисетевых интерфейсов, может быть больше чем
один

•

Используйте Bogon адрес лист для исключения внутрисетевого
трафика
51

Предопределить IP
Адрес
/ip firewall mangle
add chain=prerouting src-address-list=via/1.1.1.2 \
dst-address-list=!BOGONS action=mark-routing \
new-routing-mark=Next-Hop/1.1.1.1 passthrough=no
add chain=prerouting src-address-list=via/2.2.2.2 \
dst-address-list=!BOGONS action=mark-routing \
new-routing-mark=Next-Hop/2.2.2.1 passthrough=no

52

Предопределить IP
Адрес

Необходимо настроить src NAT для данного
типа трафика

53

Предопределить IP
Адрес
/ip firewall nat
add chain=srcnat routing-mark=Next-Hop/1.1.1.1 \
src-address-list=via/1.1.1.2 action=src-nat to-addresses=1.1.1.2
add chain=srcnat routing-mark=Next-Hop/2.2.2.1 \
src-address-list=via/2.2.2.2 action=src-nat to-addresses=2.2.2.2

54

Load Balance
•

Распределить нагрузку по каналам

•

Обеспечить выход с необходимого IP адреса

•

Проверять канал интернета

55

Load Balance
•

Per-connection-classifier

•

Nth

•

Random

•

ECMP
56

Load Balance / ECMP
•

Equal-cost multi-path

•

Позволяет распределить нагрузку между next-hop

•

Очень простой в настройке

•

10 минут хранит в кэше выбор шлюза

•

Используйте главную таблицу маршрутизации
57

Load Balance / ECMP
/ip route
add gateway=1.1.1.1,2.2.2.1 pref-src=1.1.1.2
или
add gateway=1.1.1.1,2.2.2.1,2.2.2.1 pref-src=1.1.1.2

58

ECMP Cache - 5 Tuple
src-address

dst-address

in-interface

routing-mark

ToS
59

ECMP Cache - 5 Tuple
src-address

192.168.0.100

dst-address

in-interface

routing-mark

ToS
60

ECMP Cache - 5 Tuple
src-address

192.168.0.100

dst-address

5.19.245.3

in-interface

routing-mark

ToS
61

ECMP Cache - 5 Tuple
src-address

192.168.0.100

dst-address

5.19.245.3

in-interface

Bridge-local

routing-mark

ToS
62

ECMP Cache - 5 Tuple
src-address

192.168.0.100

dst-address

5.19.245.3

in-interface

Bridge-local

routing-mark

main

ToS
63

ECMP Cache - 5 Tuple
src-address

192.168.0.100

dst-address

5.19.245.3

in-interface

Bridge-local

routing-mark

main

ToS

8
64

ECMP Cache - 5 Tuple
src-address

192.168.0.100

dst-address

5.19.245.3

in-interface

Bridge-local

routing-mark

main

ToS

8
65

=hash

ECMP Cache - 5 Tuple
hash#1
hash#2
hash#3
hash#4
hash#5
hash#6
hash#7
hash#8
hash#9
hash#10
hash#11
hash#12
hash#13
hash#14
hash#15
hash#16

gateway=1.1.1.1,2.2.2.1,2.2.2.1

1.1.1.1 via ether1
2.2.2.1 via ether2
2.2.2.1 via ether2
1.1.1.1 via ether1
2.2.2.1 via ether2
2.2.2.1 via ether2
1.1.1.1 via ether1
2.2.2.1 via ether2
2.2.2.1 via ether2
1.1.1.1 via ether1
2.2.2.1 via ether2
2.2.2.1 via ether2
1.1.1.1 via ether1
2.2.2.1 via ether2
2.2.2.1 via --">