MikroTik。 2つ以上のプロバイダーを使用する場合のdst natを修正

パート1

# oct/11/2016 22:02:32 by RouterOS 6.37.1 # software id = X62B-STGZ 

 /interface list add name=WAN /interface list member add interface=ISP1 list=WAN add interface=ISP2 list=WAN add interface=ISP3 list=WAN 

 /ip address add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0 add address=95.11.29.240/24 interface=ISP1 network=95.11.29.0 add address=5.35.59.162/27 interface=ISP2 network=5.35.59.160 add address=5.98.112.30/30 interface=ISP3 network=5.98.112.28 

 /ip route add distance=1 gateway=95.11.29.254 routing-mark=ISP1-route add distance=1 gateway=5.35.59.161 routing-mark=ISP2-route add distance=1 gateway=5.98.112.29 routing-mark=ISP3-route add check-gateway=ping distance=1 gateway=8.8.8.8 add check-gateway=ping distance=2 gateway=8.8.4.4 add check-gateway=ping distance=3 gateway=1.1.36.3 add distance=1 dst-address=8.8.4.4/32 gateway=5.35.59.161 scope=10 add distance=1 dst-address=8.8.8.8/32 gateway=95.11.29.254 scope=10 add distance=1 dst-address=1.1.36.3/32 gateway=5.98.112.29 scope=10 

 /ip firewall filter add action=accept chain=forward add action=accept chain=input add action=accept chain=output 

 /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN add action=dst-nat chain=dstnat comment="HTTP" dst-port=80 \ in-interface-list=WAN protocol=tcp to-addresses=192.168.0.83 to-ports=80 add action=dst-nat chain=dstnat comment="HTTPs" dst-port=443 \ in-interface-list=WAN protocol=tcp to-addresses=192.168.0.83 to-ports=443 

 /ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 \ new-connection-mark=ISP1-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP1-conn \ new-routing-mark=ISP1-route passthrough=no add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=\ ISP2-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP2-conn \ new-routing-mark=ISP2-route passthrough=no add action=mark-connection chain=input in-interface=ISP3 \ new-connection-mark=ISP3-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP3-conn \ new-routing-mark=ISP3-route passthrough=no add action=mark-connection chain=forward in-interface=ISP1 \ new-connection-mark=ISP1-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP1-conn-f \ in-interface=bridge new-routing-mark=ISP1-route add action=mark-connection chain=forward in-interface=ISP2 \ new-connection-mark=ISP2-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP2-conn-f \ in-interface=bridge new-routing-mark=ISP2-route add action=mark-connection chain=forward in-interface=ISP3 \ new-connection-mark=ISP3-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP3-conn-f \ in-interface=bridge new-routing-mark=ISP3-route 

パート2

 /ip route add distance=1 gateway=95.11.29.254 routing-mark=ISP1-route add distance=1 gateway=5.35.59.161 routing-mark=ISP2-route add distance=1 gateway=5.98.112.29 routing-mark=ISP3-route add check-gateway=ping distance=1 gateway=8.8.8.8 add check-gateway=ping distance=2 gateway=8.8.4.4 add check-gateway=ping distance=3 gateway=1.1.36.3 add distance=1 dst-address=8.8.4.4/32 gateway=5.35.59.161 scope=10 add distance=1 dst-address=8.8.8.8/32 gateway=95.11.29.254 scope=10 add distance=1 dst-address=1.1.36.3/32 gateway=5.98.112.29 scope=10 

1. 距離パラメータ 各ルートごとに異なり、それに応じて、ルートの「重み」も異なります。
   
   ISP1-メイン、ISP2およびISP3が続きます。 ISP1プロバイダーに障害が発生した場合、ISP2がBoseにある場合、ISP2を介して作業し、ISP3が引き継ぎます。
   
   
2. ゲートウェイパラメーターの値は、やや混乱を招く可能性があります。 このGoogle DNSとある種の左のIPアドレスが突然デフォルトルートになったのはどうしてですか？ 魔法は、最後の3行のscopeパラメーターと、Nexthopルックアップメカニズム自体にあります。
   
   実際、トラフィックはアクティブなプロバイダーに送られ、その後、アップリンクを介してインターネットに送信されます。
   
   
3. check-gateway = pingパラメーターについて。 一番下の行は、最も単純なフェールオーバービルドスキームでは、デフォルトルートでcheck-gateway = pingを指定することにより、プロバイダーのルーターへの接続のみをチェックするということです。 インターネットがプロバイダーのルーターの背後で利用できない場合、これは理解できません。 また、 scopeパラメーターを使用したフェイントの助けを借りて、プロバイダーとの接続を確認するのではなく、インターネット上で探します。

MikroTik。 Nexthop_lookup

私の意見では、英語の記事http://wiki.mikrotik.com/wiki/Manual:IP/Routeは少し見落とされています。 これは一気に読まれるCisco CCNAの調査ではありませんが、できる限り明確にその通過を翻訳するようにします。 どこかに同じ粘り強さが見られる場合は、私を修正してください。

まず、いくつかの用語を定義しましょう。
Nexthop-文字通り、次のジャンプ。 ポイントA（たとえば、私のルーターから）からポイントB（google DNS 8.8.8.8に言ってみましょう）からのパケットのルート上の次のゲートウェイ/ルーター/ルーター、つまり パケットが処理される次の中継セクション。 翻訳では「next hop」というフレーズを使用します（英語主義ではごめんなさい）。

即時ネクストホップ -直接アクセス可能な、ポイントAからポイントBへのパケットのルート上の次のゲートウェイ/ルーター/ルーター。 私の家のMikroTikの場合、デフォルトルート：

 dst-address=0.0.0.0/0 gateway=89.189.163.1 gateway-status=89.189.163.1 reachable via ether1-gateway 

89.189.163.1-これは即時のネクストホップです。 ether1-gateway経由でアクセスできます。 「直接アクセス可能なネクストホップ」というフレーズが翻訳で使用されます。

接続されたルート -接続されたルート。 ゲートウェイに直接アクセスできるルート。

ゲートウェイ -ネットワークゲートウェイ/ルーター/ルーター。
3つの翻訳オプションすべてを使用します。

スコープ -ネクストホップ検索エンジンで使用されます。 次はどんなホップでしょう。 目的のルートは、スコープ値がターゲットスコープ値以下のルートからのみ選択できます。 デフォルト値はプロトコルに依存します：

• 関連ルート：10（インターフェースが実行されている場合）
• OSPF、RIP、MMEルート：20
• 静的ルート：30
• BGPルート：40
• 関連ルート：200（インターフェイスが実行されていない場合）

target-scope-ネクストホップ検索エンジンで使用されます。 次はどんなホップでしょう。 これは、ネクストホップを見つけることができるルートのスコープパラメーターの最大値です。 iBGPの場合、値はデフォルトで30に設定されています。

両方のパラメーターの値のプレート。



次のホップを検索します。
ネクストホップを見つけることは、ルート選択プロセスの一部です。

FIBにあるルートには、各ゲートウェイアドレスに対応するインターフェイスが必要です。 ネクストホップゲートウェイのアドレスは、このインターフェイスを介して直接アクセスできる必要があります。 発信パケットを各ゲートウェイに送信するために使用する必要があるインターフェイスは、ネクストホップを検索することで見つかります。

一部のルート（iBGPなど）は、ゲートウェイアドレスとして、MikroTikから複数のホップゲートウェイにあるルーターに属するアドレスを持つ場合があります。 このようなルートをFIBにインストールするには、直接アクセスできるゲートウェイのアドレス（即時ネクストホップ）を見つける必要があります。 このルートでゲートウェイアドレスに到達するために使用されます。 ネクストホップの即時アドレスは、ネクストホップ検索エンジンを使用して見つけることもできます。

次のホップの検索は、優れたルーティングマーク値を持つルートであっても、メインルーティングテーブルmainでのみ実行されます。 これは、直接アクセス可能なホップ（即時ネクストホップ）の検索に使用できるルートのインストールを制限するために必要です。 RIPまたはOSPFのルートでは、次のルーターが直接アクセス可能であり、接続されたルートのみを使用して見つける必要があると想定されています。

ゲートウェイとしてインターフェイス名を持つルートは、ネクストホップの検索では使用されません。 インターフェイス名を持つルートとアクティブなIPアドレスを持つルートがある場合、インターフェイスを持つルートは無視されます。

許可される最大値よりも大きいスコープパラメータ値を持つルートは、ネクストホップの検索では使用されません。 各ルートは、 ターゲットスコープパラメーターで、ネクストホップのスコープパラメーターの最大許容値を指定します。 このパラメーターのデフォルト値により、接続されたルートのみを介してネクストホップを検索できます。例外として、iBGPルートはデフォルト値が高く、IGPおよび静的ルートを介してネクストホップを検索できます。



次の直接アクセス可能なルーターのインターフェースとアドレスは、次のホップの検索結果に基づいて選択されます。

• ネクストホップアドレスの検索中に見つかった最も正確なアクティブルートが接続ルートである場合、この接続ルートのインターフェイスがネクストホップのインターフェイスとして使用され、ゲートウェイは到達可能としてマークされます。 ルーターがこのインターフェースを介して直接アクセス可能になった後（これは「接続ルート」または「接続ルート」として理解されるべきです）、そのアドレスは直接アクセス可能なルーターのアドレス（即時ネクストホップアドレス）として使用されます。
  
  
• ネクストホップアドレスの検索中に見つかった最も正確なアクティブルートにすでに見つかったゲートウェイアドレスがある場合、直接アクセス可能なホップとインターフェイスがこのルートからコピーされ、ゲートウェイは再帰的としてマークされます。
  
  
• ネクストホップアドレスの検索中に見つかった最も正確なアクティブルートがECMPルートである場合、このルートの最初の利用可能なルーターが使用されます。
  
  
• ネクストホップのアドレスを見つけるメカニズムがルートを見つけられなかった場合、ゲートウェイは到達不能としてマークされます。

そして今、彼らがKVNで言うように、なぜこの数字を見せたのですか。 最後の3行の静的ルートにscope = 10を設定することに注意してください。これにより、MikroTikはネクストホップの検索時にこれらのルートを考慮に入れます。

それは受け入れ、したがってデフォルトで以下を経由します：

• 8.8.8.8
• 8.8.4.4
• 1.1.36.3

再帰的になる、すなわち プロバイダーのゲートウェイには直接アクセスできる希望があり、それらを介してトラフィックを送信しますが、check-gateway = pingはプロバイダーネットワークの背後にあるアドレスの可用性をチェックします。

私の翻訳と説明があなたの役に立つことを願っています。

• 8.8.8.8
• 8.8.4.4
• 1.1.36.3

 /ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 \ new-connection-mark=ISP1-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP1-conn \ new-routing-mark=ISP1-route passthrough=no add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=\ ISP2-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP2-conn \ new-routing-mark=ISP2-route passthrough=no add action=mark-connection chain=input in-interface=ISP3 \ new-connection-mark=ISP3-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP3-conn \ new-routing-mark=ISP3-route passthrough=no add action=mark-connection chain=forward in-interface=ISP1 \ new-connection-mark=ISP1-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP1-conn-f \ in-interface=bridge new-routing-mark=ISP1-route add action=mark-connection chain=forward in-interface=ISP2 \ new-connection-mark=ISP2-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP2-conn-f \ in-interface=bridge new-routing-mark=ISP2-route add action=mark-connection chain=forward in-interface=ISP3 \ new-connection-mark=ISP3-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP3-conn-f \ in-interface=bridge new-routing-mark=ISP3-route 

1. MANGLE-この表は、パケットと接続の分類とラベル付け、およびパケットヘッダー（TTLおよびTOSフィールド）の変更（wikiマニュアル）を目的としています。
   
   マングルテーブルには、次のチェーンが含まれています。
   
   1. PREROUTING-ルーティングを決定する前にパケットを変更できます。
   2. INPUT-ホスト自体を対象としたパッケージを変更できます。
   3. FORWARD-中継パケットを変更できるチェーン。
   4. 出力 -ホスト自体からのパケットを変更できます。
   5. POSTROUTING-ホスト自体によって生成されるすべての発信パケットと、通過するパケットを変更できます。
2. CONNECTION TRACKINGは、接続のステータスを監視し、個々のパッケージの運命を決定するときにこの情報を使用できるようにする特別なサブシステムです。
3. MikroTikのパケットフロー
4. 

おわりに