电信网通双线备份自动切换配置

电信网通双线备份自动切换配置20080913064232标签网络路由推送到技术圈电信网通双线备份自动切换配置ROUTEROS29中路由规则增加的两点功能1、在ROUTEROS29路由规则中增加了CHECKGATEWAY的功能，能检测到网关的线路状态，如果网关无法探测到，便认为网关无法连接，会自动禁止访问网关的数据通过，CHECKGATEWAY功能的探测时间为10S一个周期。2、在ROUTEROS29中具备了对缺省网关的判断，在ROUTEROS29的任何一个路由表中只能存在一个缺省网关，即到任何目标地址为0000/0，没有做路由标记（ROUTINGMARK）的规则,如果存在另一个缺省网关则认为是错误，路由将不予以执行。如下图从上图我们可以看到，所有访问电信的IP段从10200151出去，其他的数据走网通的缺省网关出去，在我们可以这些网关的前缀都为“AS”，即确定的静态路由，而在第二排可以看到蓝色一行，他也是一个缺省网关，但因为一个路由表中只能存在一个缺省网关，所有前缀为“S”即静态但不确定的网关，被认为位非法的。如果当202112121211网关断线，则10200151会自动启用，变为缺省路由，实现现在的切换，如下当2021121211断线后，CHECKGATEWAY在10S一个周期后探测到，并将102001511设置为缺省路由，如果2021121211正常后，系统也将会将2021121211设置为缺省路由，因为他是先于10200151添加入路由表中。源地址双线应用案例这是一个典型的通过一个路由器并使用两条ISP线路接入的环境（比如都是两条电线的ADSL或者LAN接入）当然，你可以选择负载均衡这里有多种方法可以选择，只是根据你的环境，选择最适合你解决方案。基于用户端IP地址的策略路由如果你有很多的主机地址，你可以通过IP地址将他们分组。这时，指定源IP地址，发送的传输通过ISP1或者ISP2的网关出去。让我们假设终端电脑的网络地址段为1921681000/24，IP分配如下1921681001127分配到A组192168100128253分配到B组192168100254路由器本地IP地址（即内网的网关）现在，我们通过子网划分的方式，将终端电脑进行分组A组为1921681000/25，地址范围1921681000127B组为192168100128/25，地址范围192168100128255如果你不能理解，请你查阅TCP/IP的相关教材或通过网上查找相关的子网划分资料我们需要添加两个IPFIREWALLMANGLE的规则，标记来至A组和B组终端电脑的数据包。定义A组链表为CHAINPREROUTING，源地址SRCADDRESS1921681000/25操作为ACTIONMARKROUTING并定义新的路由标记GROUPA最好做一个注释，以便以后便于你自己或者别人查看和处理。定义B组链表为CHAINPREROUTING，源地址SRCADDRESS192168100128/25操作为ACTIONMARKROUTING并定义新的路由标记GROUPB所有来至终端电脑的IP传输都通过路由标记为GROUPA或者GROUPB。这样我们可以标记到路由表中（ROUTINGTABLE）。下面，我们需要定义两个默认路给相应的路由标记和网关到这里，如果你没有对路由器做NAT的伪装，请在/IPFIREWALLNAT里添加SRCADDRESS1921681000/24ACTIONMASQUERADE,在终端电脑上测试一下跟踪路由是否正确定义两个分组的默认路由A组测试如下情况CTRACERTD8888TRACINGROUTETO8888OVERAMAXIMUMOF30HOPS12MS2MS2MS192168100254210MS4MS3MS10101B组测试如下情况CTRACERTD8888TRACINGROUTETO8888OVERAMAXIMUMOF30HOPS12MS2MS2MS192168100254210MS4MS3MS10581如何做端口的策略路由MIKROTIKROUTEROS可以支持多种策略路由，如我们常见的源地址、目标地址，同样支持端口的策略路由，多种规则可以根据用户情况配合使用，如下图现在我们通过下面的图解一步步实现端口的策略路由我们有两个ISP接入的线路，一个是WAN121116217223，一个是WAN221811210927（地址为假设），我们让默认的数据通过WAN1，让访问网页的数据通过WAN2。现在我们定义访问网页的端口，访问网页的端口是TCP80端口，我们进入/IPFIREWALLMANGLE中做数据标记首先我们标记80端口的连接，标记名为“HTTP”然后我们从这些连接中提取我们想要的数据之后我们从标记中提取路由标记，命名为“WEB”，因为我们在前面的连接标记中做过了PASSTHROUGH的设置，在这里就不用在重复设置。然后我们进入/IPROUTE，配置路由我们让标记好的80端口路由去WAN2的线路在这里，我们也可以通过/IPROUTERULE来定义端口的规则让定义的WEB标记在一次回到WEB路由表中去查找网关。透明传输整形器（TRANSPARENTTRAFFICSHAPER）这个事例将介绍如何配置一个透明传输整形器。透明整形器是建立在一个桥上，能区分和优先考虑什么样的传输通过。现在考虑下面的网络拓扑在这里配置一组队列限制，一个客户端的总的通过量和三个子队列（HTTP、P2P和其他的传输数据），HTTP传输将优先在其他传输之上。快速配置配置代码（可以复制到MIKROTIKROUTEROS执行）/INTERFACEBRIDGEADDNAME“BRIDGE1“/INTERFACEBRIDGEPORTADDINTERFACEETHER2BRIDGEBRIDGE1ADDINTERFACEETHER3BRIDGEBRIDGE1/IPFIREWALLMANGLEADDCHAINPREROUTINGPROTOCOLTCPDSTPORT80ACTIONMARKCONNECTIONNEWCONNECTIONMARKHTTP_CONNPASSTHROUGHYESADDCHAINPREROUTINGCONNECTIONMARKHTTP_CONNACTIONMARKPACKETNEWPACKETMARKHTTPPASSTHROUGHNOADDCHAINPREROUTINGP2PALLP2PACTIONMARKCONNECTIONNEWCONNECTIONMARKP2P_CONNPASSTHROUGHYESADDCHAINPREROUTINGCONNECTIONMARKP2P_CONNACTIONMARKPACKETNEWPACKETMARKP2PPASSTHROUGHNOADDCHAINPREROUTINGACTIONMARKCONNECTIONNEWCONNECTIONMARKOTHER_CONNPASSTHROUGHYESADDCHAINPREROUTINGCONNECTIONMARKOTHER_CONNACTIONMARKPACKETNEWPACKETMARKOTHERPASSTHROUGHNO/QUEUESIMPLEADDNAME“MAIN“TARGETADDRESSES100012/32MAXLIMIT256000/512000ADDNAME“HTTP“PARENTMAINPACKETMARKSHTTPMAXLIMIT240000/500000ADDNAME“P2P“PARENTMAINPACKETMARKSP2PMAXLIMIT64000/64000ADDNAME“OTHER“PARENTMAINPACKETMARKSOTHERMAXLIMIT128000/128000分析下面将解释每段代码的具体实现BRIDGE/INTERFACEBRIDGEADDNAME“BRIDGE1“/INTERFACEBRIDGEPORTADDINTERFACEETHER2BRIDGEBRIDGE1ADDINTERFACEETHER3BRIDGEBRIDGE1建立一个新的BRIDGE接口，并分配2个以太网卡给他这样可以在两个网络间实现透明桥的功能MANGLE/IPFIREWALLMANGLEADDCHAINPREROUTINGPROTOCOLTCPDSTPORT80ACTIONMARKCONNECTIONNEWCONNECTIONMARKHTTP_CONNPASSTHROUGHYESADDCHAINPREROUTINGCONNECTIONMARKHTTP_CONNACTIONMARKPACKETNEWPACKETMARKHTTPPASSTHROUGHNO所有符合TCP端口80及HTTP协议传输的数据，将标记为数据包标记为HTTP，注意第一条规则设置为PASSTHROUGHYES，第二条为PASSTHROUGHNO/IPFIREWALLMANGLEADDCHAINPREROUTINGP2PALLP2PACTIONMARKCONNECTIONNEWCONNECTIONMARKP2P_CONNPASSTHROUGHYESADDCHAINPREROUTINGCONNECTIONMARKP2P_CONNACTIONMARKPACKETNEWPACKETMARKP2PPASSTHROUGHNOADDCHAINPREROUTINGACTIONMARKCONNECTIONNEWCONNECTIONMARKOTHER_CONNPASSTHROUGHYESADDCHAINPREROUTINGCONNECTIONMARKOTHER_CONNACTIONMARKPACKETNEWPACKETMARKOTHERPASSTHROUGHNO同上面所述，P2P传输被标记为数据包标记P2P并将剩下的传输标记为OTHERQUEUES/QUEUESIMPLEADDNAME“MAIN“TARGETADDRESSES100012/32MAXLIMIT256000/512000创建一个队列，限制所有聪客户端来的流量传输为指定客户端的TARGETADDRESS256K/512K/QUEUESIMPLEADDNAME“HTTP“PARENTMAINPACKETMARKSHTTPMAXLIMIT240000/500000ADDNAME“P2P“PARENTMAINPACKETMARKSP2PMAXLIMIT64000/64000ADDNAME“OTHER“PARENTMAINPACKETMARKSOTHERMAXLIMIT128000/128000所有子队列排列入MAIN父系,因此所有的带宽流量不会超过指定的MAIN队列注意HTTP队列优先级高于其他队列，级HTTP流量将优先考虑。如果配置到电信网通的流量控制对于电信和网通的IP地址段是已知，那么我们可以通过通过地址标记来实现对这些地址的流量控制，首先我们将电信和网通的地址段导入ROUTEROS的ADDRESSLIST中（可以在WWWMIKROTIKCOMCN下载到）通过IMPORT命令，导入地址列表导入后我们可以在/IPFIREWALLADDRESSLIST中找到配置数据标记MANGLE进入/IPFIREWALLMANGLE设置，这里我们定义访问电信的流量控制，我们的内网地址段为19216800/24，所有这里我们配置源地址SRCADDRESS19216800/24。在MANGLE中先标记连接，然后在从连接中提取数据包定义标记类型源代码/IPFIREWALLMANGLEADDCHAINPREROUTINGSRCADDRESS19216800/24DSTADDRESSLISTTELECOMACTIONMARKCONNECTIONNEWCONNECTIONMARKTELECOMPASSTHROUGHYESCOMMENT“DISABLEDNO现在从标记的连接TELECOM中提取数据包源代码/IPFIREWALLMANGLEADDCHAINPREROUTINGCONNECTIONMARKTELECOMACTIONMARKPACKETNEWPACKETMARKTELPASSTHROUGHNOCOMMENT“DISABLEDNO配置SIMPLEQUEUE现在我们进入/QUEUESIMPLE对列中配置流控规则，在这里我们把到电信的带宽控制在1M上行和2M下行源代码/QUEUESIMPLEADDNAME“TELECOM“DSTADDRESS0000/0INTERFACEALLPARENTNONEPACKETMARKSTELDIRECTIONBOTHPRIORITY8QUEUEDEFAULTSMALL/DEFAULTSMALLLIMITAT0/0MAXLIMIT1000000/2000000TOTALQUEUEDEFAULTSMALLDISABLEDNO这样对电信的带宽控制便完成，控制网通带宽同样的如何实现ROUTEROS的动态流量控制在局域网中因为网络带宽的问题，需要对网络流做控制，但又因为做固定的流量控制的时候，会造成在上网空闲时候带宽的浪费，这里我们可以同ROUTEROS的PCQ算法完成对内部局域网流量的动态分配,如下图所示通过上图，我们可以看到当PCQ的速率设定为128K的时候，平均每个用户将会得到同样的带宽128K，当上网高峰期的时候PCQ才会做二次流量分配，如果PCQ的速率在开始就设定为0K，这样在一个用户的时候就可以得到全部带宽，之后是2个用户平均分配，依次类推，但最后带宽会控制在73K的范围内，控制最小使用带宽，保证用户正常使用。首先进入QUEUETYPE中配置PCQ的上行和下行在配置PCQ的速率的时候将RATE0，即每个用户不用配置流量速率，下面是DOWN即下行的配置同样在上行配置如下在配置好QUEUETYPE后我们进入SIMPLEQUEUE中配置流量控制规则，这里我们的总出口带宽假设为1M，上行带宽为512K，内网地址段为192168100/24接下来配置INTERFACE和QUEUETYPE，选择上行和下行的PCQ类型分别为UP和DOWN这样PCQ的动态流量控制就设定完成了，这样就能实现根据用户数占用流量来动态分配带宽，这样能达到带宽的有效分配和利用。PPTP借线操作假设一个接入点A有电信和网通两条线路，并做了以网通为主，电信为静态路由策略设置。而另一个接入点B接入了网通的线路，并且想通过PPTP隧道的方式借用接入点A的电信线路，现在看下面的图例根据上面的案例，接入点A和B他们都是共同使用了网通的线路，这里网通两个点之间的延迟小于10MS，网络延迟小才能保证足够的网速给B做电信的访问。首先建立从接入点B到A的PPTP隧道，我们在接入点A设置PPTP服务器，在接入点B设置客户端。这里接入点A的网通IP地址为2021121210，B网通地址为2021121212。配置PPPTPSERVER在接入点A启用PPTPSERVER，并设置密码传输的加密类型在这里DEFAULTPROFILE我们采用DEFAULTENCRYPTION，同样你也可以在PPTPSERVER的PROFILES中创建自己的规则。KEEPALIVETIMEOUT是PPTPSERVER主动使用ICMP协议探测客户端是否在线，如果客户端使用了防火墙或禁止ICMP探测，那无法探测到客户端，SERVER就会主动断开该客户端的连接，这个设置需要用户自己根据网络情况判断。设置PROFILE定义客户和主机的访问地址在这里我们给PPTPSERVER分配的IP地址为1921681001LOCALADDRESS，给客户端分配的地址为1921