मिकरोटिक राउटरोस में स्टेटिक रूटिंग की मूल बातें

रूटिंग टीसीपी / आईपी नेटवर्क पर पैकेट ट्रांसमिशन के लिए इष्टतम मार्ग खोजने की प्रक्रिया है। IPv4 नेटवर्क से जुड़े किसी भी उपकरण में एक प्रक्रिया और राउटिंग टेबल होते हैं।

यह लेख HOWTO नहीं है, यह राउटरओएस में स्टेटिक रूटिंग का वर्णन करता है उदाहरण के लिए, मैंने जानबूझकर बाकी सेटिंग्स (उदाहरण के लिए, इंटरनेट तक पहुंचने के लिए srcnat) को छोड़ दिया है, इसलिए इस सामग्री को समझने के लिए नेटवर्क और राउटरओएस के ज्ञान के एक निश्चित स्तर की आवश्यकता होती है।

स्विचिंग और रूटिंग

स्विचिंग एक Layer2 खंड (ईथरनेट, पीपीपी, ...) के भीतर पैकेटों के आदान-प्रदान की प्रक्रिया है। यदि डिवाइस देखता है कि पैकेट प्राप्तकर्ता उसी ईथरनेट सबनेट पर है जैसा कि यह है, तो यह आरपी प्रोटोकॉल का उपयोग करके मैक पते को पहचानता है और रूटर को दरकिनार करते हुए सीधे पैकेट भेजता है। एक ppp (पॉइंट-टू-पॉइंट) कनेक्शन में केवल दो प्रतिभागी हो सकते हैं और पैकेट को हमेशा उसी 0xff पते पर भेजा जाता है।

रूटिंग Layer2 सेगमेंट के बीच पैकेट्स को ट्रांसमिट करने की प्रक्रिया है। यदि डिवाइस एक पैकेट भेजना चाहता है, जो प्राप्तकर्ता ईथरनेट सेगमेंट के बाहर है, तो वह अपनी रूटिंग टेबल को देखता है और पैकेट को एक गेटवे के पास देता है, जो जानता है कि पैकेट को आगे कहां भेजना है (या शायद यह नहीं जानता है, पैकेट के मूल प्रेषक को इस बारे में पता नहीं है)।

राउटर पर विचार करने का सबसे आसान तरीका दो या दो से अधिक लेयर 2 खंडों से जुड़ा डिवाइस है और राउटिंग टेबल से इष्टतम मार्ग का निर्धारण करते हुए, उनके बीच पैकेट को स्थानांतरित करने में सक्षम है।

यदि सब कुछ आपके लिए स्पष्ट है या आप पहले से ही जानते थे, तो पढ़ें। मैं दृढ़ता से सलाह देता हूं कि अन्य लोग एक छोटा लेकिन बहुत व्यापक लेख पढ़ते हैं।

राउटरओएस और पैकेटफ्लो में रूटिंग

स्टैटिक रूटिंग से संबंधित लगभग सभी कार्यक्षमता सिस्टम पैकेज में है। रूटिंग पैकेज डायनामिक रूटिंग एल्गोरिदम (RIP, OSPF, BGP, MME), रूटिंग फ़िल्टर और BFD के लिए समर्थन जोड़ता है।

रूटिंग को कॉन्फ़िगर करने के लिए मुख्य मेनू: [IP]->[Route] । जटिल योजनाओं के लिए रूटिंग लेबल वाले पैकेटों की प्रारंभिक लेबलिंग की आवश्यकता हो सकती है: [IP]->[Firewall]->[Mangle] ( PREROUTING और OUTPUT चेन)।

PacketFlow पर तीन स्थान हैं जहाँ IP पैकेट को रूट करने के बारे में निर्णय किए जाते हैं:

1. राउटर द्वारा प्राप्त रूटिंग पैकेट। इस स्तर पर, यह तय किया जाता है कि पैकेट स्थानीय प्रक्रिया में जाएगा या नेटवर्क को आगे भेजा जाएगा। ट्रांजिट पैकेट एक आउटपुट इंटरफ़ेस प्राप्त करते हैं
2. स्थानीय आउटगोइंग पैकेट रूटिंग। आउटगोइंग पैकेट से आउटपुट इंटरफ़ेस मिलता है
3. आउटगोइंग पैकेट के लिए एक अतिरिक्त रूटिंग कदम आपको [Output|Mangle] में रूटिंग निर्णय को बदलने की अनुमति देता है।

• ब्लॉक 1, 2 में पैकेट पथ [IP]->[Route] में नियमों पर निर्भर करता है
• चरण 1, 2 और 3 में पैकेट पथ [IP]->[Route]->[Rules] में नियमों पर निर्भर करता है
• 1, 3 ब्लॉक में पैकेट पथ [IP]->[Firewall]->[Mangle] का उपयोग करके प्रभावित किया जा सकता है

आरआईबी, एफआईबी, रूटिंग कैश

रूटिंग सूचना का आधार
आधार जिसमें डायनेमिक रूटिंग प्रोटोकॉल से रूट एकत्र किए जाते हैं, पीपीपी और डीएचसीपी, स्टैटिक और कनेक्टेड रूट से रूट। इस डेटाबेस में व्यवस्थापक द्वारा फ़िल्टर किए गए को छोड़कर सभी मार्ग शामिल हैं।

सम्मेलन द्वारा , हम यह मान सकते हैं कि [IP]->[Route] आरआईबी प्रदर्शित करता है।

अग्रेषण सूचना आधार

आधार जहां आरआईबी से सर्वश्रेष्ठ मार्ग जा रहे हैं। FIB में सभी मार्ग सक्रिय हैं और आगे के पैकेट के लिए उपयोग किए जाते हैं। यदि मार्ग निष्क्रिय हो जाता है (व्यवस्थापक (सिस्टम) द्वारा अक्षम हो जाता है, या इंटरफ़ेस जिसके माध्यम से पैकेट भेजा जाना चाहिए निष्क्रिय है), मार्ग FIB से हटा दिया गया है।

रूटिंग के बारे में निर्णय लेने के लिए, FIB तालिका में निम्न IP पैकेट डेटा का उपयोग किया जाता है:

• स्रोत का पता
• गंतव्य का पता
• स्रोत इंटरफ़ेस
• रूटिंग मार्क
• ToS (DSCP)

FIB पैकेज में प्राप्त करना निम्न चरणों से गुजरता है:

• क्या पैकेज स्थानीय राउटर प्रक्रिया के लिए डिज़ाइन किया गया है?
• क्या पैकेज PBR प्रणाली या उपयोगकर्ता नियमों के अंतर्गत आता है?
  
  • यदि हां, तो पैकेट निर्दिष्ट मार्ग तालिका में भेजा जाता है।
• पैकेट को मुख्य टेबल पर भेजा जाता है

सम्मेलन द्वारा , हम मान सकते हैं कि [IP]->[Route Active=yes] FIB प्रदर्शित करता है।

रूटिंग कैश
कैशिंग मार्गों के लिए तंत्र। राउटर को याद है कि पैकेट कहाँ भेजे गए थे, और यदि समान (समान कनेक्शन से संभवतः) समान हैं, तो यह FIB में जाँच किए बिना, उन्हें उसी मार्ग से शुरू करता है। मार्ग कैश समय-समय पर साफ़ किया जाता है।

व्यवस्थापकों के लिए, राउटरओएस में रूटिंग कैश को देखने और प्रबंधित करने का साधन नहीं था, लेकिन इसके साथ आप इसे [IP]->[Settings] में अक्षम कर सकते हैं।

इस तंत्र को लिनक्स 3.6 कर्नेल से हटा दिया गया है, लेकिन कर्नेल 3.3.5 का उपयोग अभी भी राउटरओएस में किया जाता है, संभवतः राउटिंग कैश इसका एक कारण है।

रूट एड डायलॉग

[IP]->[Route]->[+]

1. वह सबनेट जिसके लिए आप एक मार्ग बनाना चाहते हैं (डिफ़ॉल्ट: 0.0.0.0/0)
2. गेटवे आईपी या इंटरफ़ेस जिसे पैकेट भेजा जाएगा (इसमें कई हो सकते हैं, नीचे ECMP देखें)
3. गेटवे उपलब्धता की जाँच करना
4. रिकॉर्ड प्रकार
5. मार्ग के लिए दूरी (मीट्रिक)
6. रूटिंग टेबल
7. इस मार्ग से स्थानीय आउटबाउंड पैकेट के लिए आई.पी.
8. स्कोप और लक्ष्य स्कोप का उद्देश्य लेख के अंत में लिखा गया है।

मार्ग के झंडे

• X - मार्ग व्यवस्थापक द्वारा अक्षम किया गया है ( disabled=yes )
• ए - मार्ग का उपयोग पैकेट प्रसारित करने के लिए किया जाता है।
• डी - रूट को गतिशील रूप से जोड़ा गया (बीजीपी, ओएसपीएफ, आरआईपी, एमएमई, पीपीपी, डीएचसीपी, कनेक्टेड)
• सी - सबनेट राउटर से सीधे जुड़ा हुआ है
• एस - स्टेटिक रूट
• r, b, o, m - मार्ग को डायनेमिक रूटिंग प्रोटोकॉल में से एक द्वारा जोड़ा गया था
• बी, यू, पी - फ़िल्टरिंग मार्ग (प्रेषित करने के बजाय पैकेट्स)

प्रवेश द्वार में क्या निर्दिष्ट करें: आईपी-पता या इंटरफ़ेस?

सिस्टम आपको दोनों को निर्दिष्ट करने की अनुमति देता है, जबकि यह कसम नहीं देता है और यदि आपने कुछ गलत किया है तो संकेत नहीं देता है।

आईपी ​​एड्रेस
प्रवेश द्वार का पता Layer2 के माध्यम से सुलभ होना चाहिए। ईथरनेट के लिए, इसका मतलब यह है कि राउटर के पास एक ही सबनेट से एक आईपी एड्रेस होना चाहिए, जो कि पीपीपी के लिए सक्रिय इंटरफेस में से एक पर है - गेटवे एड्रेस को सबनेट एड्रेस के रूप में सक्रिय इंटरफेस में से एक पर सूचीबद्ध किया गया है।
यदि लेयर 2 के लिए उपलब्धता की स्थिति पूरी नहीं होती है, तो मार्ग निष्क्रिय माना जाता है और एफआईबी में नहीं आता है।

इंटरफ़ेस
सब कुछ अधिक जटिल है और राउटर का व्यवहार इंटरफ़ेस के प्रकार पर निर्भर करता है:

• PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) कनेक्शन मानता है कि केवल दो प्रतिभागी हैं और पैकेट को हमेशा ट्रांसमिशन के लिए गेटवे पर भेजा जाएगा, अगर गेटवे को लगता है कि वह प्राप्तकर्ता है, तो वह पैकेट को उसकी स्थानीय प्रक्रिया में स्थानांतरित कर देगा।
  
• ईथरनेट मानता है कि कई प्रतिभागी हैं और पैकेट रिसीवर के पते के साथ arp इंटरफ़ेस के लिए अनुरोध भेजेंगे, यह जुड़े मार्गों के लिए अपेक्षित और काफी सामान्य व्यवहार है।
  लेकिन जब आप दूरस्थ सबनेट के लिए मार्ग के रूप में इंटरफ़ेस का उपयोग करने का प्रयास करते हैं, तो आपको निम्न स्थिति मिलती है: मार्ग सक्रिय है, पिंग गेटवे के लिए गुजरता है, लेकिन निर्दिष्ट सबनेट से प्राप्तकर्ता तक नहीं पहुंचता है। यदि आप एक स्निफर के माध्यम से इंटरफ़ेस को देखते हैं, तो आप दूरस्थ सबनेट से पते के साथ arp अनुरोध देखेंगे।
  

जब भी संभव हो आईपी पते को गेटवे के रूप में निर्दिष्ट करने का प्रयास करें। अपवाद जुड़े मार्ग (स्वचालित रूप से बनाए गए) और PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) इंटरफेस हैं।

OpenVPN में PPP हेडर नहीं होता है, लेकिन आप रूट बनाने के लिए OpenVPN इंटरफ़ेस नाम का उपयोग कर सकते हैं।

अधिक विशिष्ट मार्ग

रूटिंग का मूल नियम। एक रूट जो छोटे सबनेट (सबसे बड़े सबनेट मास्क के साथ) का वर्णन करता है, पैकेट रूटिंग पर निर्णय लेते समय एक उच्च प्राथमिकता है। रूटिंग टेबल में प्रविष्टियों की स्थिति चयन से संबंधित नहीं है - मूल नियम अधिक विशिष्ट है।

निर्दिष्ट योजना से सभी मार्ग सक्रिय हैं (FIB में स्थित हैं), क्योंकि अलग-अलग सबनेट की ओर इशारा करते हैं और एक दूसरे के साथ संघर्ष नहीं करते हैं।

यदि गेटवे में से कोई एक अनुपलब्ध है, तो संबंधित मार्ग को निष्क्रिय माना जाएगा (FIB से हटा दिया गया है) और शेष मार्गों से पैकेट खोजे जाएंगे।

0.0.0.0/0 के सबनेट के साथ एक मार्ग को कभी-कभी विशेष महत्व दिया जाता है और इसे "डिफ़ॉल्ट मार्ग" या "अंतिम मार्ग का प्रवेश द्वार" कहा जाता है। वास्तव में, इसमें कुछ भी जादुई नहीं है और इसमें केवल सभी संभावित IPv4 पते शामिल हैं, लेकिन ये नाम इसके उद्देश्य को अच्छी तरह से वर्णित करते हैं - यह एक प्रवेश द्वार को इंगित करता है जहां पैकेट को अग्रेषित करना है जिसके लिए कोई अन्य, अधिक सटीक, मार्ग नहीं हैं।

IPv4 के लिए अधिकतम संभव सबनेट मास्क / 32 है; यह मार्ग एक विशिष्ट मेजबान की ओर इशारा करता है और इसका उपयोग रूटिंग टेबल में किया जा सकता है।

अधिक विशिष्ट रूट को समझना किसी भी टीसीपी / आईपी डिवाइस के लिए मौलिक है।

दूरी

दूरियां (या मेट्रिक्स) कई गेटवे के माध्यम से सुलभ एक सबनेट के लिए मार्गों के प्रशासनिक फ़िल्टरिंग के लिए आवश्यक हैं। कम मीट्रिक वाले मार्ग को प्राथमिकता दी जाती है और यह FIB में होगा। यदि कम मीट्रिक वाला मार्ग सक्रिय होना बंद हो जाता है, तो FIB में इसे उच्च मीट्रिक वाले मार्ग से बदल दिया जाएगा।

यदि एक ही मेट्रिक के साथ एक ही सबनेट के लिए कई मार्ग हैं, तो राउटर उनमें से केवल एक को एफआईबी तालिका में जोड़ देगा, इसके आंतरिक तर्क द्वारा निर्देशित।

मीट्रिक 0 से 255 तक का मान ले सकता है:

• 0 - जुड़े मार्गों के लिए मीट्रिक। दूरी 0 को व्यवस्थापक द्वारा सेट नहीं किया जा सकता है
• 1-254 - मार्ग निर्धारित करने के लिए प्रशासक को उपलब्ध मेट्रिक्स। कम मूल्य वाले मेट्रिक्स पूर्वता लेते हैं।
• 255 - मार्गों की स्थापना के लिए प्रशासक को उपलब्ध मीट्रिक। 1-254 के विपरीत, 255 के मीट्रिक के साथ एक मार्ग हमेशा निष्क्रिय रहता है और FIB में नहीं आता है
• विशेष मेट्रिक्स। डायनामिक रूटिंग प्रोटोकॉल से प्राप्त रूट में मानक मीट्रिक मान होते हैं

प्रवेश द्वार की जाँच करें

गेटवे की जांच करें - icmp या arp के माध्यम से गेटवे की उपलब्धता की जाँच के लिए मिक्रोटिक रूटेसओएस एक्सटेंशन। एक बार प्रत्येक 10 सेकंड (बदला नहीं जा सकता), एक अनुरोध गेटवे को भेजा जाता है, यदि उत्तर दो बार नहीं आता है, तो मार्ग अनुपलब्ध माना जाता है और FIB से हटा दिया जाता है। यदि चेक गेटवे ने सत्यापन मार्ग को अक्षम कर दिया है, तो यह जारी रहता है और एक सफल जाँच के बाद मार्ग फिर से सक्रिय हो जाता है।

प्रवेश द्वार की जाँच करें उस प्रविष्टि को निष्क्रिय करता है जिसमें यह कॉन्फ़िगर किया गया है और अन्य सभी प्रविष्टियाँ (सभी रूटिंग टेबल और एक्म्प रूट में) निर्दिष्ट गेटवे के साथ हैं।

सामान्य तौर पर, गेटवे पर पैकेट नुकसान के साथ कोई समस्या नहीं होने पर गेटवे ठीक काम करता है। चेक गेटवे को नहीं पता है कि चेक किए गए गेटवे के बाहर संचार के साथ क्या होता है, इसके लिए अतिरिक्त उपकरणों की आवश्यकता होती है: स्क्रिप्ट, पुनरावर्ती रूटिंग, डायनेमिक रूटिंग प्रोटोकॉल।

अधिकांश वीपीएन और टनलिंग प्रोटोकॉल में कनेक्शन गतिविधि की जांच के लिए बिल्ट-इन टूल होते हैं, उनके लिए चेक गेटवे को सक्षम करना नेटवर्क और डिवाइस प्रदर्शन पर एक अतिरिक्त (लेकिन बहुत छोटा) लोड है।

ECMP रूट

समान-लागत वाला बहु-पथ - राउंड रॉबिन एल्गोरिथ्म के साथ एक ही समय में कई गेटवे का उपयोग करके प्राप्तकर्ता को पैकेट भेजना।

एक ईसीएमपी मार्ग व्यवस्थापक द्वारा एक सबनेट (या स्वचालित, यदि दो ओएसपीएफ समतुल्य हैं) के लिए कई गेटवे निर्दिष्ट करके बनाया जाता है।

ईसीएमपी का उपयोग दो चैनलों के बीच लोड को संतुलित करने के लिए किया जाता है, सिद्धांत रूप में, अगर एक ईसीएम मार्ग में दो चैनल हैं, तो प्रत्येक पैकेट के लिए आउटगोइंग चैनल अलग होना चाहिए। लेकिन रूटिंग कैश मैकेनिज़्म उस पैकेट के साथ कनेक्शन से रूट भेजता है जो पहले पैकेट गया था, परिणामस्वरूप, हमें एक प्रकार का प्रति-कनेक्शन लोडिंग बैलेंसिंग मिलता है।

यदि आप रूटिंग कैश को अक्षम करते हैं, तो ईसीएमपी मार्ग में पैकेट को सही ढंग से विभाजित किया जाएगा, लेकिन एनएटी के साथ एक समस्या है। NAT नियम कनेक्शन से केवल पहले पैकेट को संसाधित करता है (बाकी स्वचालित रूप से संसाधित होते हैं) और स्थिति यह है कि एक स्रोत पते वाले पैकेट विभिन्न इंटरफेस से जाते हैं।

गेटवे (राउटरओएस बग) की जांच ईसीएमपी मार्गों में काम नहीं करती है। यदि आप सत्यापन के लिए अतिरिक्त मार्ग बनाते हैं, तो आप इस सीमा के आसपास पहुँच सकते हैं, जो ECMP में प्रविष्टियों को निष्क्रिय कर देगा।

रूटिंग फ़िल्टरिंग

प्रकार विकल्प पैकेज के साथ क्या करना है यह निर्धारित करता है:

• यूनिकस्ट - निर्दिष्ट गेटवे (इंटरफ़ेस) पर भेजें
• ब्लैकहोल - पैकेट ड्रॉप
• निषिद्ध, अगम्य - पैकेट को छोड़ें और प्रेषक को icmp संदेश भेजें

फ़िल्टरिंग का उपयोग आमतौर पर तब किया जाता है जब आपको पैकेट को गलत तरीके से भेजने की आवश्यकता होती है, बेशक आप इसे फ़ायरवॉल के माध्यम से फ़िल्टर कर सकते हैं।

उदाहरण के एक जोड़े

रूटिंग के बारे में बुनियादी चीजों को ठीक करने के लिए।

ठेठ होम राउटर

 /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 

1. स्थिर मार्ग 0.0.0.0/0 (डिफ़ॉल्ट मार्ग)
2. प्रदाता के साथ इंटरफेस पर जुड़ा हुआ मार्ग
3. LAN इंटरफ़ेस पर कनेक्टेड मार्ग

ठेठ पीपीपीओ होम राउटर

1. डिफ़ॉल्ट मार्ग के लिए स्थैतिक मार्ग, स्वचालित रूप से जोड़ा गया यह कनेक्शन गुणों में इंगित किया गया है
2. पीपीपी कनेक्शन के लिए जुड़ा हुआ मार्ग
3. LAN इंटरफ़ेस पर कनेक्टेड मार्ग

दो प्रदाताओं और अतिरेक के साथ विशिष्ट होम राउटर

 /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2 

1. मीट्रिक 1 के साथ पहले प्रदाता के माध्यम से डिफ़ॉल्ट मार्ग के लिए स्थैतिक मार्ग और प्रवेश द्वार की उपलब्धता की जांच करना
2. मीट्रिक 2 के साथ दूसरे प्रदाता के माध्यम से डिफ़ॉल्ट मार्ग के लिए स्थिर मार्ग
3. जुड़ा हुआ मार्ग

0.0.0.0/0 को ट्रैफ़िक 10.10.10.1 को जाता है, जबकि यह प्रवेश द्वार उपलब्ध है, अन्यथा यह 10.20.20.1 पर स्विच हो जाता है

इस तरह की योजना को चैनल आरक्षण माना जा सकता है, लेकिन यह कमियों के बिना नहीं है। यदि प्रदाता के गेटवे के बाहर एक ब्रेक होता है (उदाहरण के लिए, वाहक नेटवर्क के अंदर), तो आपके राउटर को इसके बारे में पता नहीं होगा और वह मार्ग को सक्रिय मानता रहेगा।

दो प्रदाताओं, अतिरेक और ईसीएमपी के साथ विशिष्ट होम राउटर

 /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1 

1. चाक गेटवे की जाँच के लिए स्थैतिक मार्ग
2. ECMP रूट
3. जुड़ा हुआ मार्ग

नीले रंग की जाँच के लिए रूट (निष्क्रिय मार्गों का रंग), लेकिन यह चेकवे के संचालन में हस्तक्षेप नहीं करता है। वर्तमान संस्करण (6.44) आरओएस में, ईसीएमपी मार्ग के लिए स्वचालित प्राथमिकता दी जाती है, लेकिन परीक्षण मार्गों को अन्य राउटिंग टेबल (विकल्प routing-mark ) में जोड़ना बेहतर होता है।

स्पीडटेस्ट और इसी तरह की अन्य साइटों (ईसीएमपी कनेक्शनों द्वारा यातायात को विभाजित करता है, पैकेट नहीं) पर कोई गति वृद्धि नहीं होगी, लेकिन पी 2 पी अनुप्रयोगों को तेजी से लोड करना चाहिए।

रूटिंग के माध्यम से फ़िल्टरिंग

 /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1 add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole 

1. डिफ़ॉल्ट मार्ग के लिए स्थैतिक मार्ग
2. 192.168.200.0/24 के लिए स्थैतिक मार्ग को ipip सुरंग के माध्यम से
3. प्रदाता के राउटर के माध्यम से स्थिर मार्ग को 192.168.200.0/24 तक ले जाना

एक फ़िल्टरिंग विकल्प जिसमें ट्यूलिप ट्रैफ़िक प्रदाता के राउटर पर नहीं जाता है जब आईआईपी इंटरफ़ेस अक्षम होता है। ऐसी योजनाओं की शायद ही कभी आवश्यकता होती है, क्योंकि फ़ायरवॉल के माध्यम से अवरुद्ध को लागू करना संभव है।

रूटिंग लूप
एक राउटिंग लूप एक ऐसी स्थिति है जहां ttl समाप्त होने से पहले एक पैकेट राउटर के बीच चलता है। आमतौर पर यह एक कॉन्फ़िगरेशन त्रुटि का परिणाम होता है, बड़े नेटवर्क में इसे डायनेमिक राउटिंग प्रोटोकॉल के कार्यान्वयन द्वारा, छोटे नेटवर्क में - देखभाल के लिए किया जाता है।

यह कुछ इस तरह दिखता है:

उदाहरण (सरलतम) एक समान परिणाम कैसे प्राप्त करें:

राउटिंग लूप उदाहरण का कोई व्यावहारिक उपयोग नहीं है, लेकिन यह दिखाता है कि राउटर को अपने पड़ोसियों की रूटिंग टेबल के बारे में कोई पता नहीं है।

पॉलिसी बेस रूटिंग और अतिरिक्त रूटिंग टेबल्स

मार्ग चुनते समय, राउटर पैकेट हेडर (Dst। Address) से केवल एक फ़ील्ड का उपयोग करता है - यह मूल रूटिंग है। अन्य शर्तों के आधार पर रूटिंग, जैसे कि स्रोत का पता, यातायात का प्रकार (ToS), ECMP के बिना संतुलन, पॉलिसी बेस रूटिंग (PBR) को संदर्भित करता है और अतिरिक्त रूटिंग टेबल का उपयोग करता है।

रूटिंग टेबल के भीतर रूट चुनने के लिए अधिक विशिष्ट रूट मूल नियम है।

डिफ़ॉल्ट रूप से, सभी रूटिंग नियम मुख्य तालिका में जोड़े जाते हैं। एक व्यवस्थापक उनके लिए अतिरिक्त रूटिंग टेबल और रूट पैकेट की एक मनमानी संख्या बना सकता है। विभिन्न तालिकाओं में नियम एक दूसरे के साथ संघर्ष नहीं करते हैं। यदि पैकेज में निर्दिष्ट तालिका में एक उपयुक्त नियम नहीं मिलता है, तो यह मुख्य तालिका में जाएगा।

फ़ायरवॉल के माध्यम से वितरण उदाहरण:

• 192.168.100.10 -> 8.8.8.8
  
  1. 192.168.100.10 से ट्रैफ़िक के माध्यम से isp1 लेबल [Prerouting|Mangle]
  2. रूटिंग चरण में, is-isp1 तालिका में , एक मार्ग 8.8.8.8 तक खोजा जाता है
  3. मार्ग पाया जाता है, यातायात 10.10.10.1 को गेटवे पर भेजा जाता है
• 192.168.200.20 -> 8.8.8.8
  
  1. 192.168.200.20 से ट्रैफ़िक के माध्यम से isp2 लेबल [Prerouting|Mangle]
  2. रूटिंग चरण में, थ्रू-isp2 तालिका 8.8.8.8 तक के मार्ग की खोज करती है
  3. मार्ग पाया जाता है, ट्रैफ़िक को गेटवे 10.20.20.1 पर भेजा जाता है
• यदि गेटवे (10.10.10.1 या 10.20.20.1) में से कोई एक अनुपलब्ध हो जाता है, तो पैकेट मुख्य टेबल पर जाएगा और वहां एक उपयुक्त मार्ग की तलाश करेगा

शब्दावली मुद्दे

राउटरओएस में कुछ शब्दावली के मुद्दे हैं।
[IP]->[Routes] में नियमों के साथ काम करते समय [IP]->[Routes] रूटिंग टेबल को इंगित किया जाता है, हालांकि यह कहता है कि लेबल:

[IP]->[Routes]->[Rule] सब कुछ सही है, टेबल एक्शन में कंडीशन लेबल में:

किसी विशिष्ट रूटिंग टेबल पर पैकेट कैसे भेजें

राउटरओएस कई उपकरण प्रदान करता है:

• [IP]->[Routes]->[Rules] में नियम [IP]->[Routes]->[Rules]
• [IP]->[Firewall]->[Mangle] रूट लेबल ( action=mark-routing )
• VRF

नियम [IP]->[Route]->[Rules]
नियमों को क्रमिक रूप से संसाधित किया जाता है, यदि पैकेट नियम की शर्तों से मेल खाता है, तो यह आगे नहीं बढ़ता है।

रूटिंग नियम आपको राउटिंग की क्षमताओं का विस्तार करने की अनुमति देते हैं, जो न केवल प्राप्तकर्ता पते पर निर्भर करता है, बल्कि स्रोत पते और उस इंटरफ़ेस को भी प्राप्त करता है जिसे पैकेट प्राप्त हुआ था।

नियम शर्तों और कार्यों से मिलकर होते हैं:

• स्थितियां। वे व्यावहारिक रूप से उन संकेतों की सूची को दोहराते हैं जिनके द्वारा FIB में पैकेट की जाँच की जाती है, केवल TOS गायब है।
• कार्रवाई
  
  • देखना - एक मेज पर एक पैकेट भेजें
  • केवल तालिका में लुकअप - तालिका में पैकेज को लॉक करें, यदि मार्ग नहीं मिला है तो पैकेज मुख्य तालिका में नहीं जाएगा
  • ड्रॉप - पैकेट ड्रॉप
  • अप्राप्य - प्रेषक सूचना पैकेट को छोड़ें

FIB में, नियमों को दरकिनार करते हुए स्थानीय प्रक्रियाओं में ट्रैफ़िक को [IP]->[Route]->[Rules] :

अंकन [IP]->[Firewall]->[Mangle]
रूट लेबल आपको लगभग किसी भी फ़ायरवॉल स्थितियों का उपयोग करके पैकेट के लिए प्रवेश द्वार निर्धारित करने की अनुमति देते हैं:

व्यावहारिक रूप से, क्योंकि उनमें से सभी समझ में नहीं आते हैं, और कुछ अस्थिर रूप से काम कर सकते हैं।

पैकेज को चिह्नित करने के दो तरीके हैं:

• तुरंत रूटिंग-मार्क सेट करें
• पहले कनेक्शन-मार्क सेट करें , फिर कनेक्शन-मार्क सेट रूटिंग-मार्क के आधार पर

फ़ायरवॉल के बारे में एक लेख में, मैंने लिखा है कि दूसरा विकल्प बेहतर है क्योंकि मार्गों को चिह्नित करने के मामले में सीपीयू पर लोड कम करता है - यह पूरी तरह से सच नहीं है। ये अंकन विधियां हमेशा समतुल्य नहीं होती हैं और आमतौर पर विभिन्न समस्याओं को हल करने के लिए उपयोग की जाती हैं।

उपयोग के उदाहरण

हम पॉलिसी बेस रूटिंग का उपयोग करने के उदाहरणों पर पास करते हैं, उन्हें यह दिखाना बहुत आसान है कि यह सब क्यों आवश्यक है।

मल्टीवैन और प्रतिक्रिया आउटगोइंग (आउटपुट) यातायात
मल्टीवैन कॉन्फ़िगरेशन के साथ एक आम समस्या: मिकरोटिक केवल "सक्रिय" प्रदाता के माध्यम से इंटरनेट से सुलभ है।

यह राउटर के लिए कोई फर्क नहीं पड़ता कि आईपी किस अनुरोध के लिए आया था? एक प्रतिक्रिया उत्पन्न करते समय, यह रूटिंग टेबल में एक मार्ग की तलाश करेगा, जहां isp1 के माध्यम से मार्ग सक्रिय है। इसके अलावा, इस तरह के एक पैकेट को प्राप्त करने वाले के लिए सबसे अधिक संभावना है।

एक और दिलचस्प बात। यदि "सरल" स्रोत एनएटी को ईथर 1 इंटरफेस पर कॉन्फ़िगर किया गया है: /ip fi nat add out-interface=ether1 action=masquerade पैकेट को src के साथ नेटवर्क पर जाएगा। पता = 10.10.10.100, जो स्थिति को और बढ़ाएगा।

समस्या को ठीक करने के कई तरीके हैं, लेकिन उनमें से किसी को अतिरिक्त रूटिंग टेबल की आवश्यकता होगी:

 /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1 add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2 add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1 add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2 

[IP]->[Route]->[Rules]
निर्दिष्ट स्रोत IP के साथ पैकेट के लिए उपयोग की जाने वाली रूटिंग तालिका निर्दिष्ट करें।

 /ip route rule add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1 add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2 

आप action=lookup उपयोग कर सकते हैं, लेकिन स्थानीय आउटगोइंग ट्रैफ़िक के लिए, यह विकल्प गलत इंटरफ़ेस से कनेक्शन को पूरी तरह से बाहर कर देता है।

• सिस्टम Src के साथ एक प्रतिक्रिया पैकेट उत्पन्न करता है। पता: 10.20.20.200
• रूटिंग निर्णय (2) चरण में, [IP]->[Routes]->[Rules] की जाँच की जाती है और पैकेट को isp2 रूटिंग टेबल पर भेज दिया जाता है
• रूटिंग टेबल के अनुसार, पैकेट को ईथर 2 इंटरफेस के माध्यम से गेटवे 10.20.20.1 पर भेजा जाना चाहिए

इस विधि को Mangle तालिका का उपयोग करने के विपरीत, काम करने वाले कनेक्शन ट्रैकर की आवश्यकता नहीं है।

[IP]->[Firewall]->[Mangle]
कनेक्शन आने वाले पैकेट से शुरू होता है, इसलिए हम इसे चिह्नित करते हैं ( action=mark-connection ), चिह्नित कनेक्शन से आउटगोइंग पैकेट के लिए हम रूट लेबल ( action=mark-routing ) सेट करते हैं।

 /ip firewall mangle #   add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1 add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2 #      add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no 

ip, dst-address .

• ether2 . [INPUT|Mangle] from-isp2
• Src. Address: 10.20.20.200
• Routing Decision(2) 10.20.20.1 ether1. [OUTPUT|Filter]
• [OUTPUT|Mangle] from-isp2 over-isp2
• Routing Adjusment(3)
• 10.20.20.1 ether2

MultiWAN dst-nat

, ( web) .

 /ip firewall nat add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100 add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100 

, Firewall Mangle, :

 /ip firewall mangle add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1 add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2 add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no 

NAT, .

MultiWAN

PBR vpn ( SSTP) .

:

 /ip route add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1 add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2 add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3 add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1 add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2 add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3 

:

 /ip firewall mangle add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no 

NAT, Src. Address:

 /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade add chain=srcnat out-interface=ether2 action=masquerade add chain=srcnat out-interface=ether3 action=masquerade 

:

• SSTP
• Routing Decision (2) , main. Src. Address ether1
• [Output|Mangle]
• Routing Adjusment
• Src. Address ether1, [Nat|Srcnat]

, :

Connection Tracker [Mangle] [Srcnat] , , Replay Dst. Address NAT:

VPN ( ) :

, :

 /ip route add dst-address=10.10.10.100 gateway=192.168.100.1 add dst-address=10.10.10.101 gateway=192.168.200.1 add dst-address=10.10.10.102 gateway=192.168.0.1 

. , vpn , 6 [IP]->[Routes] type=blackhole . — 3 [IP]->[Route]->[Rules] .

, . :

 /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1 add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2 

[IP]->[Route]->[Rules]

 /ip route rules add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1 add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2 

action=lookup , main . — .

[IP]->[Firewall]->[Mangle]
ip . . layer7, , , .

 /ip firewall mangle add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2 

"" [IP]->[Route]->[Rules] :

 /ip route rules add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1 add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2 

[IP]->[Firewall]->[Filter] :

 /ip firewall filter add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject 

dst-address-type=!local
dst-address-type=!local (dns, winbox, ssh, ...). , , dst-address-table .

[IP]->[Route]->[Rules] , . , FIB [PREROUTING|Mangle] main, . Routing Rules, User PBR .

[IP]->[Firewall]->[Mangle action=route]
[Prerouting|Mangle] , :

 /ip firewall mangle add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1 add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1 

route ( [IP]->[Route]->[Rules] ). , action=route action=mark-route , ( passtrough ), .
wiki , .

PPC

Per Connection Classificator — ECMP. ECMP (ECMP , Routing Cache ).

PCC ip , 32- . , . . , .

:

 192.168.100.10: 192+168+100+10 = 470 % 3 = 2 192.168.100.11: 192+168+100+11 = 471 % 3 = 0 192.168.100.12: 192+168+100+12 = 472 % 3 = 1 

src.address :

 #  /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1 add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2 add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3 #    /ip firewall mangle add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1 add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2 add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3 add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1 add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2 add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3 

: in-interface=br-lan , action=mark-routing .

Check ping — , IP , , , check ping .
BGP, .

, ip , , google dns: 8.8.8.8. 8.8.4.4. Mikrotik .

Multihop BGP MikroTik, check gateway .

scope/target scope :

1. scope main target scope
2. ,
3. connected

, :

• 1-3 connected ,
• 4-6 connected ""

RIB, FIB : 0.0.0.0/0 via 10.10.10.1 on ether1 .

:

 /ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10 add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10 add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2 

, 10.10.10.1:

Check gateway ping' 8.8.8.8, ( main) 10.10.10.1.

10.10.10.1 8.8.8.8, , ( ping) 8.8.8.8 10.10.10.1:

ether1, , 8.8.8.8 :

, NetWatch 8.8.8.8. NetWatch . :

 /ip route add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole 

, NetWatch .

, 8.8.8.8 , dns .

Virtual Routing and Forwarding (VRF)

VRF , ( MPLS) L3VPN :

VRF Mikrotik , ip VRF, .

vrf:

 /ip route vrf add interfaces=ether1 routing-mark=vrf1 add interfaces=ether2 routing-mark=vrf2 /ip address add address=192.168.100.1/24 interface=ether1 network=192.168.100.0 add address=192.168.200.1/24 interface=ether2 network=192.168.200.0 

ether2 , ping vrf ( ), ping :

main ( vrf route leaking):

 /ip route add distance=1 gateway=172.17.0.1@main routing-mark=vrf1 add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2 

route leaking: : 172.17.0.1@main : 172.17.0.1%wlan1 .

[PREROUTING|Mangle] :

 /ip firewall mangle add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no 

VRF netmap:

:

 /ip route vrf add interfaces=ether1 routing-mark=vrf1 add interfaces=ether2 routing-mark=vrf2 /ip address add address=192.168.100.1/24 interface=ether1 network=192.168.100.0 add address=192.168.100.1/24 interface=ether2 network=192.168.100.0 add address=192.168.0.1/24 interface=ether3 network=192.168.0.0 

firewall:

 #        /ip firewall mangle add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no # netmap   ""     /ip firewall nat add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24 add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24 

:

 #      route leaking,       connected  /ip route add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1 add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2 

dhcp
VRF , ( dhcp client) .

vrf:

 /ip route vrf add interface=ether1 routing-mark=over-isp1 

( ) over-isp1 :

 /ip firewall mangle add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no 

, :

 /interface bridge add name=bare /ip route add dst-address=0.0.0.0/0 gateway=bare 

Routing decision (2) [OUTPUT|Mangle] , 0.0.0.0/0 main .

connected-in dynamic-in [Routing] -> [Filters]

( ) — ( routing ), :

• connected-in — connected
• dynamic-in — PPP DCHP

, : distance, routing-mark, comment, scope, target scope, ...

- Routing Filters ( ), Routing Filters, . Routing Filters .

Routing Mark
. VPN . - :

 #  vpn    default route    /interface pptp-client add connect-to=XXXX add-default-route=yes default-route-distance=101 ... add connect-to=YYYY add-default-route=yes default-route-distance=100 ... #             /routing filter add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1 add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2 

, , vrf ppp , 0.0.0.0/0 main. .

Connected
:

 /route filter add chain=connected-in prefix=192.168.100.0/24 action=reject 

RouterOS :

• [Tool]->[Torch] —
• /ip route check — ,
• /ping routing-table=<name> /tool traceroute routing-table=<name> — ping
• action=log [IP]->[Firewall] — , packet flow,