资源预览内容
第1页 / 共23页
第2页 / 共23页
第3页 / 共23页
第4页 / 共23页
第5页 / 共23页
第6页 / 共23页
第7页 / 共23页
第8页 / 共23页
第9页 / 共23页
第10页 / 共23页
亲,该文档总共23页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
电信网通双线备份自动切换配置 2008-09-13 06:42:32标签:网络 路由 推送到技术圈 电信网通双线备份自动切换配置RouterOS 2.9 中路由规则增加的两点功能:1、在 RouterOS 2.9 路由规则中增加了 check-gateway 的功能,能检测到网关的线路状态,如果网关无法探测到,便认为网关无法连接,会自动禁止访问网关的数据通过,check-gateway 功能的探测时间为 10s 一个周期。2、在 RouterOS 2.9 中具备了对缺省网关的判断,在 RouterOS 2.9 的任何一个路由表中只能存在一个缺省网关,即到任何目标地址为 0.0.0.0/0,没有做路由标记(routing-mark)的规则, 如果存在另一个缺省网关则认为是错误,路由将不予以执行。如下图:从上图我们可以看到,所有访问电信的 IP 段从 10.200.15.1 出去,其他的数据走网通的缺省网关出去,在我们可以这些网关的前缀都为“AS”,即确定的静态路由,而在第二排可以看到蓝色一行,他也是一个缺省网关,但因为一个路由表中只能存在一个缺省网关,所有前缀为“S”即静态但不确定的网关,被认为位非法的。如果当 202.112.12.12.11 网关断线,则10.200.15.1 会自动启用,变为缺省路由,实现现在的切换,如下:当 202.112.12.11 断线后,check-gateway 在 10s 一个周期后探测到,并将 10.200.15.11 设置为缺省路由,如果 202.112.12.11 正常后,系统也将会将 202.112.12.11 设置为缺省路由,因为他是先于 10.200.15.1 添加入路由表中。源地址双线应用案例这是一个典型的通过一个路由器并使用两条 ISP 线路接入的环境(比如都是两条电线的 ADSL 或者 LAN 接入): 当然,你可以选择负载均衡!这里有多种方法可以选择,只是根据你的环境,选择最适合你解决方案。基于用户端 IP 地址的策略路由 如果你有很多的主机地址,你可以通过 IP 地址将他们分组。这时,指定源 IP 地址,发送的传输通过 ISP1 或者 ISP2 的网关出去。让我们假设终端电脑的网络地址段为 192.168.100.0/24,IP 分配如下: 192.168.100.1-127 分配到 A 组 192.168.100.128-253 分配到 B 组 192.168.100.254 路由器本地 IP 地址(即内网的网关)现在,我们通过子网划分的方式,将终端电脑进行分组: A 组为 192.168.100.0/25,地址范围:192.168.100.0-127 B 组为 192.168.100.128/25,地址范围:192.168.100.128-255 如果你不能理解,请你查阅 TCP/IP 的相关教材或通过网上查找相关的子网划分资料!我们需要添加两个 ip firewall mangle 的规则,标记来至 A 组和 B 组终端电脑的数据包。定义 A 组:链表为 chain=prerouting,源地址:src-address=192.168.100.0/25 操作为 Action=mark routing 并定义新的路由标记 GroupA. 最好做一个注释,以便以后便于你自己或者别人查看和处理。定义 B 组:链表为 chain=prerouting,源地址:src-address=192.168.100.128/25 操作为 Action=mark routing 并定义新的路由标记 GroupB 所有来至终端电脑的 IP 传输都通过路由标记为 GroupA 或者 GroupB。这样我们可以标记到路由表中(routing table)。下面,我们需要定义两个默认路给相应的路由标记和网关:到这里,如果你没有对路由器做 NAT 的伪装,请在/ip firewall nat 里添加 src- Address=192.168.100.0/24 action=masquerade,在终端电脑上测试一下跟踪路由是否正确定义两个分组的默认路由:A 组测试如下情况:C:tracert -d 8.8.8.8Tracing route to 8.8.8.8 over a maximum of 30 hops1 2 ms 2 ms 2 ms 192.168.100.2542 10 ms 4 ms 3 ms 10.1.0.1.B 组测试如下情况: C:tracert -d 8.8.8.8Tracing route to 8.8.8.8 over a maximum of 30 hops1 2 ms 2 ms 2 ms 192.168.100.2542 10 ms 4 ms 3 ms 10.5.8.1.如何做端口的策略路由 :MikroTik RouterOS 可以支持多种策略路由,如我们常见的源地址、目标地址,同样支持端口的策略路由,多种规则可以根据用户情况配合使用,如下图:现在我们通过下面的图解一步步实现端口的策略路由:我们有两个 ISP 接入的线路,一个是 WAN1: 211.162.172.23,一个是 WAN2: 218.112.109.27(地址为假设),我们让默认的数据通过 WAN1,让访问网页的数据通过 WAN2。现在我们定义访问网页的端口,访问网页的端口是 TCP 80 端口,我们进入/ip firewall mangle 中做数据标记首先我们标记 80 端口的连接,标记名为“http”然后我们从这些连接中提取我们想要的数据:之后我们从标记中提取路由标记,命名为“web”,因为我们在前面的连接标记中做过了 passthrough 的设置,在这里就不用在重复设置。然后我们进入/ip route,配置路由我们让标记好的 80 端口路由去 WAN2 的线路:在这里,我们也可以通过/ip route rule 来定义端口的规则:让定义的 web 标记在一次回到 web 路由表中去查找网关。透明传输整形器 ( Transparent Traffic Shaper)这个事例将介绍如何配置一个透明传输整形器。透明整形器是建立在一个桥上,能区分和优先考虑什么样的传输通过。现在考虑下面的网络拓扑:在这里配置一组队列限制,一个客户端的总的通过量和三个子队列(HTTP、P2P 和其他的传输数据),HTTP 传输将优先在其他传输之上。快速配置配置代码(可以复制到 MikroTik RouterOS 执行):/ interface bridge add name=bridge1/ interface bridge port add interface=ether2 bridge=bridge1 add interface=ether3 bridge=bridge1 / ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 action=mark-connection new-connection-mark=http_conn passthrough=yesadd chain=prerouting connection-mark=http_conn action=mark-packet new-packet-mark=http passthrough=noadd chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yesadd chain=prerouting connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=noadd chain=prerouting action=mark-connection new-connection-mark=other_conn passthrough=yesadd chain=prerouting connection-mark=other_conn action=mark-packet new-packet-mark=other passthrough=no/ queue simple add name=main target-addresses=10.0.0.12/32 max-limit=256000/512000add name=http parent=main packet-marks=http max-limit=240000/500000add name=p2p parent=main packet-marks=p2p max-limit=64000/64000add name=other parent=main packet-marks=other max-limit=128000/128000分析下面将解释每段代码的具体实现:Bridge/ interface bridge add name=bridge1/ interface bridge port add interface=ether2 bridge=bridge1 add interface=ether3 bridge=bridge1建立一个新的 bridge 接口,并分配 2 个以太网卡给他:这样可以在两个网络间实现透明桥的功能Mangle/ ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 action=mark-connection new-connection-mark=http_conn passthrough=yesadd chain=prerouting connection-mark=http_conn action=mark-packet new-packet-mark=http passthrough=no所有符合 TCP 端口 80 及 HTTP 协议传输的数据,将标记为数据包标记为 http ,注意:第一条规则设置为 passthrough=yes,第二条为 passthrough=no./ ip firewall mangle add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yesadd chain=prerouting connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=noadd chain=prerouting action=mark-connection new-connection-mark=other_conn passthrough=yesadd chain=prerouting connection-mark=other_conn action=mark-packet new-packet-mark=other passthrough=no同上面所述,P2P 传输被标记为数据包标记 p2p 并将剩下的传输标记为 other. Queues/ queue simple add name=main target-addresses=10.0.0.12/32 max-limit=256000/512000创建一个队列,限制所有聪客户端来的流量传输为(指定客户端的 target-address)256k/512k. nts
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号