دليل قائمة الواجهة على MikroTik

ظهرت قوائم الواجهات في MikroTik RouterOS لفترة طويلة ، ولكن عن طريق الملاحظة ، لا يعرف الجميع عنها وبالتالي لا يستخدمونها.

الوصف

ما هو واضح من الاسم - قائمة الواجهات ، مثل قوائم العناوين ، فقط مع الواجهات. لا تخلط بينه وبين الجسور والواجهات المحيطة ، فهذه ثلاث تقنيات مختلفة لمهام مختلفة. ظهرت هذه الوظيفة منذ حوالي عام وهي موجودة في جميع الإصدارات الحالية (الحالية والإصلاحية) من RouterOS 6.

الشيء الرئيسي الذي يجب تذكره: الواجهات في القوائم لا تزال مستقلة ، ولن تبدأ حركة المرور من خلالها (كما في حالة الجسر) ولن تكون متوازية (كما في حالة الربط) ، وهذا أمر مثير للسخرية بالنسبة لك ، ولكن هناك أشخاص حكماء.

القوائم القياسية

[واجهات] -> [قائمة واجهات] -> [قوائم]
بشكل افتراضي ، هناك ثلاث قوائم: الكل ، لا شيء ، ديناميكية. مع أول اثنين ، كل شيء واضح ، ويتم ملء الديناميكي حاليًا من اتصالات ppp معينة و Detect Internet.

خيار وحدة التحكم:

/interface list print 

إنشاء قائمتك
[واجهات] -> [قائمة واجهات] -> [قوائم] -> [+]
الاسم - الاسم
include - تضمين واجهات من القائمة المحددة في القائمة الجديدة
استبعاد - استبعاد الواجهات من القائمة المحددة من القائمة الجديدة


خيار وحدة التحكم:

 /interface list add name=test 

إضافة واجهات

يمكنك إضافة أي واجهات: إيثرنت ، wlan ، جسر ، vlan ، vpn ، vif ، ... كل شيء يتم من القائمة الرئيسية [قوائم الواجهة].


خيار وحدة التحكم:

 /interface list member add interface=ether1 list=test 

الاستخدام في فلتر جدار الحماية

التطبيق الرئيسي هو تبسيط قواعد جدار الحماية ، دعنا نقول أن لديك مركز VPN وتحتاج إلى تكوين قواعد ماكرة لحركة المرور ، ولكن جعلها واضحة قدر الإمكان.


قبل:

تحقق في الواجهة ، وأرسل إلى السلسلة -1.
في السلسلة 1 ، تحقق من الواجهة ، وأرسل إلى السلسلة 2.
في السلسلة 2 ، قمنا بإعداد القواعد.


وهكذا لكل واجهة. 4 اتصالات - 8 قواعد و 8 اتصالات - 16 قاعدة. هل الاتصالات ديناميكية؟ يمكنك الخروج واستخدام كل ppp ، ورميها في السلسلة 1 ، ثم العودة'تحتاج إلى واجهات إضافية من السلسلة 1.

الآن:

نضيف جميع الواجهات إلى قائمة واحدة وننشئ قاعدة واحدة بنفس القائمة داخل القائمة وقائمة خارج الواجهة ، والتي تنتقل إلى سلاسل باستخدام قواعد التصفية. لقد أصبح أقصر بشكل ملحوظ.


هناك ناقص في هذا المخطط ، إذا نظرت إلى "سابق" ، فعند كل واجهة يتوقع أن تكون الشبكات الفرعية للعنوان متوقعة على الواجهة ، في المخطط الجديد ، يمكنك دفع جميع الواجهات إلى قائمة العناوين ، ولكن لن تكون عناوين الشبكات الفرعية متصلة بوضوح بالواجهات.

مثال آخر هو أن لديك العديد من مقدمي الخدمات وأنت كسول للغاية لتكرار القواعد لكل منها:

الاستخدام في جدار الحماية نات

عندما ظهرت قوائم الواجهات للتو ، اشتكى mikrotik في المنتدى من عمل قوائم الواجهة في nat ، يبدو الآن أنه قد تم إصلاحه. قررت التحقيق

منصة الاختبار:


لا يحتوي المخطط على عناوين كافية لنفسه

النتائج:

سلسلة src-nat:
* حفلة تنكرية - يعمل. اعتمادًا على واجهة الإخراج ، استبدل IP المقابل.
* src-nat - يعمل. يستبدل IP المحدد فقط للواجهة التي يوجد عليها هذا IP.
* نفس - يعمل. وبالمثل مع src-nat.

سلسلة dst-nat:

* إعادة التوجيه - يعمل.
* dst-nat - يعمل. بما في ذلك بالاشتراك مع حفلة تنكرية.
* netmap - يعمل. إذا كنت تستخدمه بدلاً من dst-nat. عند استخدامه على النحو المنشود ، فإنه يعمل أيضًا.

الاستخدام في تشابك جدار الحماية

يعمل. على سبيل المثال ، إذا كنت بحاجة إلى وضع علامة على كل حركة المرور الواردة من واجهات شجرة قائمة الانتظار.

الاستخدام في ملفات تعريف VPN

نذكر مثالا مع VPN الإقليمية. تمت إضافة المنطقة الخامسة وقمت بإضافتها يدويًا إلى قائمة الواجهة ، ولكن يمكنك القيام بذلك بسهولة وتحديد في ملف تعريف VPN الذي سيتم وضع الواجهة عند الاتصال ، بغض النظر عما إذا كانت ملزمة أو يتم إنشاؤها تلقائيًا عندما يقوم العميل بفصل الواجهة من القائمة محذوف. بالنسبة لـ VPN الصادر ، يعمل هذا أيضًا.

[PPP] -> [ملفات التعريف]

كل شيء على ما يرام ، ولكن هناك خطأ (في وقت النشر ، الإصدار RoS 6.42.6). إذا أنشأت ربطًا وأضفته بشكل ثابت إلى القائمة المحددة في الملفات الشخصية ، فلن يتم إنشاء الاتصال. في السجلات (الخادم) سيكون شيء من هذا القبيل:

الاستخدام في الجسر

يمكنك تحديد قائمة الواجهات كعضو في الجسر ، ولكن سيتم فقط إضافة واجهات قادرة على العمل على الطبقة 2 (إيثرنت ، wlan ، محيط ، eoip ، ovpn-ethernet ، ...) ، باستثناء الجسور الأخرى.

كشف الإنترنت

ظهرت الوظيفة في إصدار البرنامج الثابت الحالي وهي ليست جاهزة للاستخدام بعد.
[واجهات] -> [Detect Intrnet]
* كشف قائمة الواجهات - قائمة بالواجهات التي سيتم إجراء عمليات الفحص عليها.
* قائمة واجهات LAN - قائمة يتم إضافة جميع واجهات الطبقة 2 النشطة إليها. احصل على حالة الشبكة المحلية.
* قائمة واجهة WAN - قائمة تضاف إليها جميع واجهات أنفاق lte و vpn. واجهات أيضًا مع حالة lan التي لا تحتوي على خادم dhcp والتي يتوفر منها العنوان 8.8.8.8. بالإضافة إلى كل شيء ، سيضيف mikrotik عميل dhcp إلى الواجهة في محاولة للحصول على الإعدادات تلقائيًا.
* قائمة واجهة الإنترنت - قائمة الواجهات ذات حالة الشبكة ، إذا كان cloud.mikrotik.com يعتقد أن هناك0000 منها متاحة. بعد إعادة التحقق كل دقيقة ، بعد 3 محاولات فاشلة ، تعود الواجهة إلى حالة wan. تغيير عنوان التحقق ، أو لا يمكن الفواصل الزمنية.

[حالات الواجهة] - نتائج الاختبار.

هذه هي الطريقة التي يجب أن تعمل بها ، ولكن في الممارسة العملية ، لا يتم إرسال طلبات cloud.mikrotik.com. نحن ننتظر ونأمل أن يقوموا بإصلاحه ؛ إزالة القيود ؛ إضافة القدرة على تنفيذ البرامج النصية عند تغيير حالة الواجهة.

أخرى

في الفرع الحالي ، قرر MikroTik أنه من الجدير استخدام قائمة Interface بشكل أكثر نشاطًا ، والآن يتم تكوين الخيارات التالية من خلال قوائم الواجهات ، بدلاً من واجهات محددة:
* [IP] -> [الجيران] -> [إعدادات الاكتشاف]


* [Tools] -> [MAC-Server] -> [Mac-Telnet Server] و [Mac-Winbox Server]

بعد الترقية ، لا تنس إعادة التكوين.

مخطوطات و cli

قد تواجه موقفًا حيث تصبح إحدى الواجهات في القائمة غير معروفة (إذا قمت بحذف الواجهة قبل حذفها من القائمة) ولم أتمكن شخصيًا من العثور على طريقة لمجرد حذف هذه الواجهة باستخدام cli والنصوص البرمجية (بدون مسح القائمة بالكامل والفرط). إذا كان أي شخص يعرف - اكتب في التعليقات.


هذا كل شيء. آمل أن يكون هناك عدد أقل من التكوينات في العالم مع دمج الواجهات في الجسر من أجل تقليل القواعد في جدار الحماية.