SlideShare a Scribd company logo

mikrotik multiwan

Marco Antonio Martinez Andrade
Marco Antonio Martinez Andrade

informatica redes telecomunicaciones electronica

Engineering
1 of 62
Download to read offline
1
• Васильев Кирилл • Санкт-Петербург • Курсы MikroTik • Поддержка • Разработка ПО • Продажа 2
3
Настройка RouterOS для одновременной работы с несколькими провайдерами 4
Multiwan • Обеспечить доступ к маршрутизатору • Организовать правильный выход с маршрутизатора • Одновременный доступ к ресурсам «за» NAT • Распределение нагрузки по каналам 5
Доступ к маршрутизатору 6
Доступ к маршрутизатору • Управление маршрутизатором • WinBox, ssh, snmp, icmp etc… • Нормальная работаVPN • Point-to-Point и IP Туннели, а также IPSec • А также другие сервисы CPU 7
Доступ к маршрутизатору • Необходимо обеспечить выход с того же самого интерфейса, с которого пришёл трафик 8
9 Выход с маршрутизатора
Доступ к маршрутизатору • Цепочка Prerouting • Маркируйте соединение на входе в маршрутизатор • Учитывайте в маркировке каждый шлюз • Учитывайте в маркировке интерфейс провайдера • Только для пакетов connection-state=new • Для удобства именуйте соединения с учётом IP адреса шлюза • «Prerouting/GW/1.1.1.1» 10
Доступ к маршрутизатору • На выходе из маршрутизатора, все пакеты в именованном соединении отправляем в отдельную таблицу маршрутизации • Трафик должен вернуться в тот же интерфейс маршрутизатора, с которого пришёл • Данный трафик должен уйти с тем же source адресом, на который destination адрес он пришёл 11
Доступ к маршрутизатору 12 /ip firewall mangle add chain=prerouting dst-address=1.1.1.0/29 in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=Prerouting/GW/1.1.1.1 passthrough=no add chain=output connection-mark=Prerouting/GW/1.1.1.1 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
Доступ к маршрутизатору • Создайте таблицу маршрутизации, где уникальность маршрута определяется не IP адресом, а адресом nexthop • Данная таблица должна «смотреть только в себя» • Проверка доступности шлюза check-gatawey не имеет смысла 13
Доступ к маршрутизатору 14 /ip route add gateway=1.1.1.1 routing-mark=Next-Hop/1.1.1.1 /ip route rule add action=lookup-only-in-table routing-mark=Next-Hop/1.1.1.1 table=Next-Hop/1.1.1.1 I S P 1
Доступ к маршрутизатору • Нет необходимости NATить данный трафик 15
Выход с маршрутизатора 16
• Подключение к внешним сервисам с маршрутизатора • VPN, IP Туннели и IPSec • Функционал RouterOS, где можно указать source или local адрес Выход с маршрутизатора 17
18 Выход с маршрутизатора
• Цепочка Output • Нет возможности определить исходящий интерфейс, для определения внутрисетевого трафика • Используйте префиксы BOGON для исключения внутрисетевого трафика • Учитывайте каждую подсеть • Используйте существующую именную таблицу маршрутизации Выход с маршрутизатора 19
Bogon / RFC5735 0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16 172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 192.88.99.0/24 192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 224.0.0.0/4 240.0.0.0/4 255.255.255.255/32 20
Выход с маршрутизатора 21 /ip firewall mangle add chain=output src-address=1.1.1.0/29 dst-address-list=!BOGON action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
• Нет необходимости NATить данный трафик Выход с маршрутизатора 22
Выход с маршрутизатора Достаточно ли данных настроек для управления маршрутизатором? 23
24 Выход с маршрутизатора
• Необходим unicast активный маршрут в таблице MAIN • Используйте пустой Bridge, как loopback интерфейс • Создайте default route через loopback интерфейс • Укажите максимальную рабочую distance для маршрута • Используйте pref-src для определения src IP адреса остального трафика Выход с маршрутизатора 25
Выход с маршрутизатора 26 /interface bridge add name=Br-Loopback /ip route add gateway=Br-Loopback distance=254 pref-src=1.1.1.2
Доступ «за» NAT 27
Доступ «за» NAT • Одновременный доступ к внутренним сервисам • CDN, SMTP,WEB, etc… • DNS Round Robin, как вариант распределения внешней нагрузки на каналы, современные браузеры замечательно работают с данной технологией и отрабатывают отказ 28
Доступ «за» NAT Настройте dst NAT так, как обычно это делаете 29
Доступ «за» NAT • Уже существует маркированное соединение • Цепочка Prerouting • Исключите интерфейс провайдера из фильтра • Отправляется в именную таблицу маршрутизации 30
Доступ «за» NAT 31 /ip firewall nat add chain=dstnat dst-address=1.1.1.2 protocol=tcp dst-port=80,25,443 in-interface=ether1 action=dst-nat to-addresses=192.168.1.2 /ip firewall mangle chain=prerouting in-interface=!ether1 connection-mark=Prerouting/GW/1.1.1.1 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
Доступ «за» NAT Нет необходимости NATить данный трафик За вас это сделает connection-tracker 32
Доступ «за» NAT 33
Доступ «за» NAT 34
Предопределить IP Адрес 35
Предопределить IP Адрес • Выход хоста из под определённого IP адреса • Позволяет организовать работу сложных протоколов или IP зависимых сервисов • Asterisk, банкинг, IPsec c внутренних хостов etc… 36
Предопределить IP Адрес • Цепочка Prerouting • Используйте address-list для определения списка хостов • Адрес листы именуйте информативно «via1.1.1.2» • Количество внутрисетевых интерфейсов, может быть больше чем один • Используйте Bogon адрес лист для исключения внутрисетевого трафика 37
Предопределить IP Адрес 38 /ip firewall mangle add chain=prerouting src-address-list=via/1.1.1.2 dst-address-list=!BOGONS action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no /ip firewall nat add chain=srcnat routing-mark=Next-Hop/1.1.1.1 src-address-list=via/1.1.1.2 action=src-nat to-addresses=1.1.1.2 I S P 1
Предопределить IP Адрес Необходимо настроить src NAT для данного типа трафика 39
Load Balance • Распределить нагрузку по каналам • Обеспечить выход с необходимого IP адреса 40
Load Balance • Per-connection-classifier • Nth • Random • ECMP 41
Load Balance / ECMP • Equal-cost multi-path • Round Robin • Позволяет распределить нагрузку между next-hop • Очень простой в настройке • 10 минут хранит в кэше выбор шлюза • Используйте главную таблицу маршрутизации 42
Load Balance / ECMP 43 /ip route add gateway=1.1.1.1,2.2.2.1 pref-src=1.1.1.2 или add gateway=1.1.1.1,2.2.2.1,2.2.2.1 pref-src=1.1.1.2
44 нельзя просто так взять и настроить ECMP Через NAT
Load Balance / ECMP Необходимо убрать ограничение 10 минут 45
46 Load Balance / ECMP ECMP
Load Balance / ECMP • Цепочка forward • Только для connection-state=new • Учитывайте таблицу маршрутизации • Учитывайте исходящий интерфейс 47
Load Balance / ECMP • Цепочка Prerouting • Только для маркированных соединений • Используйте ранее созданную таблицу маршрутизации 48
Load Balance / ECMP 49 /ip firewall mangle add chain=forward connection-state=new out-interface=ether1 routing-table=main action=mark-connection new-connection-mark=ECMP/1.1.1.2 passthrough=no add chain=prerouting in-interface=!ether1 connection-mark=ECMP/1.1.1.2 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
50 Load Balance / ECMP ECMP
Load Balance / ECMP Необходимо настроить src NAT для данного типа трафика 51
Load Balance / ECMP 52 /ip firewall nat add action=src-nat chain=srcnat connection-mark=ECMP/1.1.1.2 to-addresses=1.1.1.2 I S P 1
Load Balance Random 53
Load Balance / Random • Правила в firewall терминирующие • Рассчитайте правильно процентное соотношение • Учитывайте в расчёте уже отфильтрованные проценты • Только для connection-state=new 54
55 Load Balance / Random
Load Balance / Random 56 /ip firewall mangle add chain=prerouting connection-state=new random=30 src-address-list=BOGONS dst-address-list=!BOGONS connection-mark=no-mark action=mark-connection new-connection-mark=RND/1.1.1.2 passthrough=YES add chain=prerouting in-interface=!ether1 connection-mark=RND/1.1.1.2 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
Load Balance / Random 57 /ip firewall mangle add chain=prerouting connection-state=new src-address-list=BOGONS dst-address-list=!BOGONS connection-mark=no-mark action=mark-connection new-connection-mark=RND/2.2.2.2 passthrough=YES add chain=prerouting in-interface=!ether2 connection-mark=RND/2.2.2.2 action=mark-routing new-routing-mark=Next-Hop/2.2.2.1 passthrough=no I S P 2
Load Balance / Random Необходимо настроить src NAT для данного типа трафика 58
Load Balance / Random 59 /ip firewall nat add action=src-nat chain=srcnat connection-mark=RND/1.1.1.2 to-addresses=1.1.1.2 add action=src-nat chain=srcnat connection-mark=RND/2.2.2.2 to-addresses=2.2.2.2
Load Balance / Random Пример расчёта 20Mbps / 10Mpbs / 5Mbps 100% = 35Mbps 57% / 28% / 15% 60
Load Balance / Random • Первое правило random=15 (5Mbps) 20+10Mbps=100% • Второе правило random=33 (10Mbps) • Третьe правило, без random (20Mbps) 61
Вопросы? • MikroTik.Me • Vasilevkirill.com • https://t.me/mikrotikme • https://vk.com/mikrotikrus 62

Recommended

MPLS MPLS Inter-AS MPLS CSC
MPLS MPLS Inter-AS MPLS CSCMPLS MPLS Inter-AS MPLS CSC
MPLS MPLS Inter-AS MPLS CSCCisco Russia
 
Сетевые службы
Сетевые службыСетевые службы
Сетевые службыДмитрий Тихонов
 
Модель OSI
Модель OSIМодель OSI
Модель OSIДмитрий Тихонов
 
Routing
RoutingRouting
RoutingДмитрий Тихонов
 
MPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связиMPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связиSkillFactory
 
Стек протоколов ip
Стек протоколов ipСтек протоколов ip
Стек протоколов ipДмитрий Тихонов
 
63
6363
63JIuc
 
Компьютерные сети
Компьютерные сетиКомпьютерные сети
Компьютерные сетиДмитрий Тихонов
 

Recommended

MPLS MPLS Inter-AS MPLS CSC
MPLS MPLS Inter-AS MPLS CSCMPLS MPLS Inter-AS MPLS CSC
MPLS MPLS Inter-AS MPLS CSCCisco Russia
 
Сетевые службы
Сетевые службыСетевые службы
Сетевые службыДмитрий Тихонов
 
Модель OSI
Модель OSIМодель OSI
Модель OSIДмитрий Тихонов
 
Routing
RoutingRouting
RoutingДмитрий Тихонов
 
MPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связиMPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связиSkillFactory
 
Стек протоколов ip
Стек протоколов ipСтек протоколов ip
Стек протоколов ipДмитрий Тихонов
 
63
6363
63JIuc
 
Компьютерные сети
Компьютерные сетиКомпьютерные сети
Компьютерные сетиДмитрий Тихонов
 
Сети и системы телекоммуникаций. Коммутируемый Ethernet
Сети и системы телекоммуникаций. Коммутируемый EthernetСети и системы телекоммуникаций. Коммутируемый Ethernet
Сети и системы телекоммуникаций. Коммутируемый EthernetAndrey Sozykin
 
Topic04 switching
Topic04 switchingTopic04 switching
Topic04 switchingeltsovcsseftkspbspuru
 
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровня
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровняСети и системы телекоммуникаций. Управляющие протоколы сетевого уровня
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровняAndrey Sozykin
 
Сети и системы телекоммуникаций. Протоколы маршрутизации
Сети и системы телекоммуникаций. Протоколы маршрутизацииСети и системы телекоммуникаций. Протоколы маршрутизации
Сети и системы телекоммуникаций. Протоколы маршрутизацииAndrey Sozykin
 
Tehnologii globalnyh-setey
Tehnologii globalnyh-seteyTehnologii globalnyh-setey
Tehnologii globalnyh-seteyezozbek
 
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...Cisco Russia
 
Адресация в ip сетях
Адресация в ip сетяхАдресация в ip сетях
Адресация в ip сетяхДмитрий Тихонов
 
Сети и системы телекоммуникаций. Дополнительные функции коммутаторов
Сети и системы телекоммуникаций. Дополнительные функции коммутаторовСети и системы телекоммуникаций. Дополнительные функции коммутаторов
Сети и системы телекоммуникаций. Дополнительные функции коммутаторовAndrey Sozykin
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Cisco Russia
 
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...Cisco Russia
 
Построение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДПостроение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДCisco Russia
 
Сети и системы телекоммуникаций. Протокол UDP
Сети и системы телекоммуникаций. Протокол UDPСети и системы телекоммуникаций. Протокол UDP
Сети и системы телекоммуникаций. Протокол UDPAndrey Sozykin
 
Построение территориально распределенных ЦОД
Построение территориально распределенных ЦОДПостроение территориально распределенных ЦОД
Построение территориально распределенных ЦОДCisco Russia
 
Сети и системы телекоммуникаций. Протокол TCP
Сети и системы телекоммуникаций. Протокол TCPСети и системы телекоммуникаций. Протокол TCP
Сети и системы телекоммуникаций. Протокол TCPAndrey Sozykin
 
Topic24 pdh
Topic24 pdhTopic24 pdh
Topic24 pdheltsovcsseftkspbspuru
 
Задачи создания и варианты связи распределённых ЦОД.
Задачи создания и варианты связи распределённых ЦОД. Задачи создания и варианты связи распределённых ЦОД.
Задачи создания и варианты связи распределённых ЦОД.Cisco Russia
 
Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Cisco Russia
 
Сети и системы телекоммуникаций. Маршрутизация
Сети и системы телекоммуникаций. МаршрутизацияСети и системы телекоммуникаций. Маршрутизация
Сети и системы телекоммуникаций. МаршрутизацияAndrey Sozykin
 
Сети и системы телекоммуникаций. Протокол IP
Сети и системы телекоммуникаций. Протокол IPСети и системы телекоммуникаций. Протокол IP
Сети и системы телекоммуникаций. Протокол IPAndrey Sozykin
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Cisco Russia
 
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...mikrotik-training
 
Cisco Training Solutions: Call Admission Control
Cisco Training Solutions: Call Admission ControlCisco Training Solutions: Call Admission Control
Cisco Training Solutions: Call Admission ControlCisco Russia
 

More Related Content

What's hot

Сети и системы телекоммуникаций. Коммутируемый Ethernet
Сети и системы телекоммуникаций. Коммутируемый EthernetСети и системы телекоммуникаций. Коммутируемый Ethernet
Сети и системы телекоммуникаций. Коммутируемый EthernetAndrey Sozykin
 
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровня
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровняСети и системы телекоммуникаций. Управляющие протоколы сетевого уровня
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровняAndrey Sozykin
 
Сети и системы телекоммуникаций. Протоколы маршрутизации
Сети и системы телекоммуникаций. Протоколы маршрутизацииСети и системы телекоммуникаций. Протоколы маршрутизации
Сети и системы телекоммуникаций. Протоколы маршрутизацииAndrey Sozykin
 
Tehnologii globalnyh-setey
Tehnologii globalnyh-seteyTehnologii globalnyh-setey
Tehnologii globalnyh-seteyezozbek
 
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...Cisco Russia
 
Сети и системы телекоммуникаций. Дополнительные функции коммутаторов
Сети и системы телекоммуникаций. Дополнительные функции коммутаторовСети и системы телекоммуникаций. Дополнительные функции коммутаторов
Сети и системы телекоммуникаций. Дополнительные функции коммутаторовAndrey Sozykin
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Cisco Russia
 
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...Cisco Russia
 
Построение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДПостроение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДCisco Russia
 
Сети и системы телекоммуникаций. Протокол UDP
Сети и системы телекоммуникаций. Протокол UDPСети и системы телекоммуникаций. Протокол UDP
Сети и системы телекоммуникаций. Протокол UDPAndrey Sozykin
 
Построение территориально распределенных ЦОД
Построение территориально распределенных ЦОДПостроение территориально распределенных ЦОД
Построение территориально распределенных ЦОДCisco Russia
 
Сети и системы телекоммуникаций. Протокол TCP
Сети и системы телекоммуникаций. Протокол TCPСети и системы телекоммуникаций. Протокол TCP
Сети и системы телекоммуникаций. Протокол TCPAndrey Sozykin
 
Задачи создания и варианты связи распределённых ЦОД.
Задачи создания и варианты связи распределённых ЦОД. Задачи создания и варианты связи распределённых ЦОД.
Задачи создания и варианты связи распределённых ЦОД.Cisco Russia
 
Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Cisco Russia
 
Сети и системы телекоммуникаций. Маршрутизация
Сети и системы телекоммуникаций. МаршрутизацияСети и системы телекоммуникаций. Маршрутизация
Сети и системы телекоммуникаций. МаршрутизацияAndrey Sozykin
 
Сети и системы телекоммуникаций. Протокол IP
Сети и системы телекоммуникаций. Протокол IPСети и системы телекоммуникаций. Протокол IP
Сети и системы телекоммуникаций. Протокол IPAndrey Sozykin
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Cisco Russia
 

What's hot (20)

Сети и системы телекоммуникаций. Коммутируемый Ethernet
Сети и системы телекоммуникаций. Коммутируемый EthernetСети и системы телекоммуникаций. Коммутируемый Ethernet
Сети и системы телекоммуникаций. Коммутируемый Ethernet
 
Topic04 switching
Topic04 switchingTopic04 switching
Topic04 switching
 
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровня
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровняСети и системы телекоммуникаций. Управляющие протоколы сетевого уровня
Сети и системы телекоммуникаций. Управляющие протоколы сетевого уровня
 
Сети и системы телекоммуникаций. Протоколы маршрутизации
Сети и системы телекоммуникаций. Протоколы маршрутизацииСети и системы телекоммуникаций. Протоколы маршрутизации
Сети и системы телекоммуникаций. Протоколы маршрутизации
 
Tehnologii globalnyh-setey
Tehnologii globalnyh-seteyTehnologii globalnyh-setey
Tehnologii globalnyh-setey
 
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
 
Адресация в ip сетях
Адресация в ip сетяхАдресация в ip сетях
Адресация в ip сетях
 
Сети и системы телекоммуникаций. Дополнительные функции коммутаторов
Сети и системы телекоммуникаций. Дополнительные функции коммутаторовСети и системы телекоммуникаций. Дополнительные функции коммутаторов
Сети и системы телекоммуникаций. Дополнительные функции коммутаторов
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД.
 
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...
Построение катастрофоустойчивых и распределённых ЦОД (часть 3). Оптимизация п...
 
Построение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДПостроение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОД
 
Сети и системы телекоммуникаций. Протокол UDP
Сети и системы телекоммуникаций. Протокол UDPСети и системы телекоммуникаций. Протокол UDP
Сети и системы телекоммуникаций. Протокол UDP
 
Построение территориально распределенных ЦОД
Построение территориально распределенных ЦОДПостроение территориально распределенных ЦОД
Построение территориально распределенных ЦОД
 
Сети и системы телекоммуникаций. Протокол TCP
Сети и системы телекоммуникаций. Протокол TCPСети и системы телекоммуникаций. Протокол TCP
Сети и системы телекоммуникаций. Протокол TCP
 
Topic24 pdh
Topic24 pdhTopic24 pdh
Topic24 pdh
 
Задачи создания и варианты связи распределённых ЦОД.
Задачи создания и варианты связи распределённых ЦОД. Задачи создания и варианты связи распределённых ЦОД.
Задачи создания и варианты связи распределённых ЦОД.
 
Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.
 
Сети и системы телекоммуникаций. Маршрутизация
Сети и системы телекоммуникаций. МаршрутизацияСети и системы телекоммуникаций. Маршрутизация
Сети и системы телекоммуникаций. Маршрутизация
 
Сети и системы телекоммуникаций. Протокол IP
Сети и системы телекоммуникаций. Протокол IPСети и системы телекоммуникаций. Протокол IP
Сети и системы телекоммуникаций. Протокол IP
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
 

Similar to mikrotik multiwan

Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...mikrotik-training
 
Cisco Training Solutions: Call Admission Control
Cisco Training Solutions: Call Admission ControlCisco Training Solutions: Call Admission Control
Cisco Training Solutions: Call Admission ControlCisco Russia
 
Networks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionNetworks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionVadim Ponomarev
 
Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты Cisco Russia
 
Организация сети и безопасность
Организация сети и безопасностьОрганизация сети и безопасность
Организация сети и безопасностьOpenStackRU
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Ontico
 
Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стекDmitry Samsonov
 
Расширенные возможности протокола BGP
Расширенные возможности протокола BGPРасширенные возможности протокола BGP
Расширенные возможности протокола BGPCisco Russia
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Cisco Russia
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018GigaCloud
 
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)Ontico
 
Performance optimization of virtual network infrastructure (RUS, OpenStack Me...
Performance optimization of virtual network infrastructure (RUS, OpenStack Me...Performance optimization of virtual network infrastructure (RUS, OpenStack Me...
Performance optimization of virtual network infrastructure (RUS, OpenStack Me...Vadim Ponomarev
 
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Ontico
 
Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...ARCCN
 
Развитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДРазвитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДCisco Russia
 
Building deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayBuilding deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayAndrey Rebrov
 
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchipРазработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchipARCCN
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Cisco Russia
 

Similar to mikrotik multiwan (20)

Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...
 
Cisco Training Solutions: Call Admission Control
Cisco Training Solutions: Call Admission ControlCisco Training Solutions: Call Admission Control
Cisco Training Solutions: Call Admission Control
 
Управление сервисами дата-центра
Управление сервисами дата-центраУправление сервисами дата-центра
Управление сервисами дата-центра
 
Networks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionNetworks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solution
 
Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты
 
Организация сети и безопасность
Организация сети и безопасностьОрганизация сети и безопасность
Организация сети и безопасность
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
 
Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стек
 
Расширенные возможности протокола BGP
Расширенные возможности протокола BGPРасширенные возможности протокола BGP
Расширенные возможности протокола BGP
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
 
Spanning tree protocol (stp)
Spanning tree protocol (stp)Spanning tree protocol (stp)
Spanning tree protocol (stp)
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
 
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
 
Performance optimization of virtual network infrastructure (RUS, OpenStack Me...
Performance optimization of virtual network infrastructure (RUS, OpenStack Me...Performance optimization of virtual network infrastructure (RUS, OpenStack Me...
Performance optimization of virtual network infrastructure (RUS, OpenStack Me...
 
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
 
Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...
 
Развитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДРазвитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОД
 
Building deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayBuilding deployment pipeline - DevOps way
Building deployment pipeline - DevOps way
 
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchipРазработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
 

mikrotik multiwan

  • 1. 1
  • 2. • Васильев Кирилл • Санкт-Петербург • Курсы MikroTik • Поддержка • Разработка ПО • Продажа 2
  • 3. 3
  • 4. Настройка RouterOS для одновременной работы с несколькими провайдерами 4
  • 5. Multiwan • Обеспечить доступ к маршрутизатору • Организовать правильный выход с маршрутизатора • Одновременный доступ к ресурсам «за» NAT • Распределение нагрузки по каналам 5
  • 7. Доступ к маршрутизатору • Управление маршрутизатором • WinBox, ssh, snmp, icmp etc… • Нормальная работаVPN • Point-to-Point и IP Туннели, а также IPSec • А также другие сервисы CPU 7
  • 8. Доступ к маршрутизатору • Необходимо обеспечить выход с того же самого интерфейса, с которого пришёл трафик 8
  • 10. Доступ к маршрутизатору • Цепочка Prerouting • Маркируйте соединение на входе в маршрутизатор • Учитывайте в маркировке каждый шлюз • Учитывайте в маркировке интерфейс провайдера • Только для пакетов connection-state=new • Для удобства именуйте соединения с учётом IP адреса шлюза • «Prerouting/GW/1.1.1.1» 10
  • 11. Доступ к маршрутизатору • На выходе из маршрутизатора, все пакеты в именованном соединении отправляем в отдельную таблицу маршрутизации • Трафик должен вернуться в тот же интерфейс маршрутизатора, с которого пришёл • Данный трафик должен уйти с тем же source адресом, на который destination адрес он пришёл 11
  • 12. Доступ к маршрутизатору 12 /ip firewall mangle add chain=prerouting dst-address=1.1.1.0/29 in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=Prerouting/GW/1.1.1.1 passthrough=no add chain=output connection-mark=Prerouting/GW/1.1.1.1 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
  • 13. Доступ к маршрутизатору • Создайте таблицу маршрутизации, где уникальность маршрута определяется не IP адресом, а адресом nexthop • Данная таблица должна «смотреть только в себя» • Проверка доступности шлюза check-gatawey не имеет смысла 13
  • 14. Доступ к маршрутизатору 14 /ip route add gateway=1.1.1.1 routing-mark=Next-Hop/1.1.1.1 /ip route rule add action=lookup-only-in-table routing-mark=Next-Hop/1.1.1.1 table=Next-Hop/1.1.1.1 I S P 1
  • 15. Доступ к маршрутизатору • Нет необходимости NATить данный трафик 15
  • 17. • Подключение к внешним сервисам с маршрутизатора • VPN, IP Туннели и IPSec • Функционал RouterOS, где можно указать source или local адрес Выход с маршрутизатора 17
  • 19. • Цепочка Output • Нет возможности определить исходящий интерфейс, для определения внутрисетевого трафика • Используйте префиксы BOGON для исключения внутрисетевого трафика • Учитывайте каждую подсеть • Используйте существующую именную таблицу маршрутизации Выход с маршрутизатора 19
  • 21. Выход с маршрутизатора 21 /ip firewall mangle add chain=output src-address=1.1.1.0/29 dst-address-list=!BOGON action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
  • 22. • Нет необходимости NATить данный трафик Выход с маршрутизатора 22
  • 23. Выход с маршрутизатора Достаточно ли данных настроек для управления маршрутизатором? 23
  • 25. • Необходим unicast активный маршрут в таблице MAIN • Используйте пустой Bridge, как loopback интерфейс • Создайте default route через loopback интерфейс • Укажите максимальную рабочую distance для маршрута • Используйте pref-src для определения src IP адреса остального трафика Выход с маршрутизатора 25
  • 26. Выход с маршрутизатора 26 /interface bridge add name=Br-Loopback /ip route add gateway=Br-Loopback distance=254 pref-src=1.1.1.2
  • 28. Доступ «за» NAT • Одновременный доступ к внутренним сервисам • CDN, SMTP,WEB, etc… • DNS Round Robin, как вариант распределения внешней нагрузки на каналы, современные браузеры замечательно работают с данной технологией и отрабатывают отказ 28
  • 29. Доступ «за» NAT Настройте dst NAT так, как обычно это делаете 29
  • 30. Доступ «за» NAT • Уже существует маркированное соединение • Цепочка Prerouting • Исключите интерфейс провайдера из фильтра • Отправляется в именную таблицу маршрутизации 30
  • 31. Доступ «за» NAT 31 /ip firewall nat add chain=dstnat dst-address=1.1.1.2 protocol=tcp dst-port=80,25,443 in-interface=ether1 action=dst-nat to-addresses=192.168.1.2 /ip firewall mangle chain=prerouting in-interface=!ether1 connection-mark=Prerouting/GW/1.1.1.1 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
  • 32. Доступ «за» NAT Нет необходимости NATить данный трафик За вас это сделает connection-tracker 32
  • 36. Предопределить IP Адрес • Выход хоста из под определённого IP адреса • Позволяет организовать работу сложных протоколов или IP зависимых сервисов • Asterisk, банкинг, IPsec c внутренних хостов etc… 36
  • 37. Предопределить IP Адрес • Цепочка Prerouting • Используйте address-list для определения списка хостов • Адрес листы именуйте информативно «via1.1.1.2» • Количество внутрисетевых интерфейсов, может быть больше чем один • Используйте Bogon адрес лист для исключения внутрисетевого трафика 37
  • 38. Предопределить IP Адрес 38 /ip firewall mangle add chain=prerouting src-address-list=via/1.1.1.2 dst-address-list=!BOGONS action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no /ip firewall nat add chain=srcnat routing-mark=Next-Hop/1.1.1.1 src-address-list=via/1.1.1.2 action=src-nat to-addresses=1.1.1.2 I S P 1
  • 39. Предопределить IP Адрес Необходимо настроить src NAT для данного типа трафика 39
  • 40. Load Balance • Распределить нагрузку по каналам • Обеспечить выход с необходимого IP адреса 40
  • 42. Load Balance / ECMP • Equal-cost multi-path • Round Robin • Позволяет распределить нагрузку между next-hop • Очень простой в настройке • 10 минут хранит в кэше выбор шлюза • Используйте главную таблицу маршрутизации 42
  • 43. Load Balance / ECMP 43 /ip route add gateway=1.1.1.1,2.2.2.1 pref-src=1.1.1.2 или add gateway=1.1.1.1,2.2.2.1,2.2.2.1 pref-src=1.1.1.2
  • 44. 44 нельзя просто так взять и настроить ECMP Через NAT
  • 45. Load Balance / ECMP Необходимо убрать ограничение 10 минут 45
  • 46. 46 Load Balance / ECMP ECMP
  • 47. Load Balance / ECMP • Цепочка forward • Только для connection-state=new • Учитывайте таблицу маршрутизации • Учитывайте исходящий интерфейс 47
  • 48. Load Balance / ECMP • Цепочка Prerouting • Только для маркированных соединений • Используйте ранее созданную таблицу маршрутизации 48
  • 49. Load Balance / ECMP 49 /ip firewall mangle add chain=forward connection-state=new out-interface=ether1 routing-table=main action=mark-connection new-connection-mark=ECMP/1.1.1.2 passthrough=no add chain=prerouting in-interface=!ether1 connection-mark=ECMP/1.1.1.2 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
  • 50. 50 Load Balance / ECMP ECMP
  • 51. Load Balance / ECMP Необходимо настроить src NAT для данного типа трафика 51
  • 52. Load Balance / ECMP 52 /ip firewall nat add action=src-nat chain=srcnat connection-mark=ECMP/1.1.1.2 to-addresses=1.1.1.2 I S P 1
  • 54. Load Balance / Random • Правила в firewall терминирующие • Рассчитайте правильно процентное соотношение • Учитывайте в расчёте уже отфильтрованные проценты • Только для connection-state=new 54
  • 56. Load Balance / Random 56 /ip firewall mangle add chain=prerouting connection-state=new random=30 src-address-list=BOGONS dst-address-list=!BOGONS connection-mark=no-mark action=mark-connection new-connection-mark=RND/1.1.1.2 passthrough=YES add chain=prerouting in-interface=!ether1 connection-mark=RND/1.1.1.2 action=mark-routing new-routing-mark=Next-Hop/1.1.1.1 passthrough=no I S P 1
  • 57. Load Balance / Random 57 /ip firewall mangle add chain=prerouting connection-state=new src-address-list=BOGONS dst-address-list=!BOGONS connection-mark=no-mark action=mark-connection new-connection-mark=RND/2.2.2.2 passthrough=YES add chain=prerouting in-interface=!ether2 connection-mark=RND/2.2.2.2 action=mark-routing new-routing-mark=Next-Hop/2.2.2.1 passthrough=no I S P 2
  • 58. Load Balance / Random Необходимо настроить src NAT для данного типа трафика 58
  • 59. Load Balance / Random 59 /ip firewall nat add action=src-nat chain=srcnat connection-mark=RND/1.1.1.2 to-addresses=1.1.1.2 add action=src-nat chain=srcnat connection-mark=RND/2.2.2.2 to-addresses=2.2.2.2
  • 60. Load Balance / Random Пример расчёта 20Mbps / 10Mpbs / 5Mbps 100% = 35Mbps 57% / 28% / 15% 60
  • 61. Load Balance / Random • Первое правило random=15 (5Mbps) 20+10Mbps=100% • Второе правило random=33 (10Mbps) • Третьe правило, без random (20Mbps) 61
  • 62. Вопросы? • MikroTik.Me • Vasilevkirill.com • https://t.me/mikrotikme • https://vk.com/mikrotikrus 62