+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема распределения нагрузки между несколькими шлюзами с точки доступа.

Проблема распределения нагрузки между несколькими шлюзами с точки доступа., RouterOS

enjoy

Guest

29.03.2010 07:43:00

Пожалуйста, помогите мне. У меня на одном устройстве стоит Mikrotik и hotspot (usermanager). Я использую «распределение нагрузки по нескольким шлюзам», но это не работает с hotspot. На самом деле, если я отключаю hotspot, всё работает отлично!

routik

Guest

01.08.2011 11:57:00

Fewi, я очень благодарен тебе за то, что нашёл время всё это мне объяснить. В общем, вот что я сделал на данный момент:

/ip route
add check-gateway=ping comment="ISP1" disabled=no distance=1 \
dst-address=0.0.0.0/0 gateway=172.16.0.1 routing-mark=GLO1 scope=30 \
target-scope=10
add check-gateway=ping comment="ISP2" disabled=no distance=1 \
dst-address=0.0.0.0/0 gateway="VISAFONE" routing-mark=VISA1 scope=30 \
target-scope=10

Сделаю ещё две основные маршрутизации по умолчанию через два ISP, но без маркировки маршрута. Это будет запасной вариант на случай падения одного из провайдеров. Займусь этим позже.

/ip firewall mangle
add action=mark-routing chain=output comment="ISP1 Traffic" disabled=no \
new-routing-mark=GLO1 out-interface=LAN passthrough=no protocol=tcp \
src-port=80,53,8080
add action=mark-routing chain=output comment="ISP2 Traffic" disabled=yes \
new-routing-mark=VISA1 passthrough=no

Последнее правило я отключил, потому что если его включить, то перестаёт работать выход в интернет. Сейчас моя проблема — это именно правило для ISP2 на выходе, которое я отключил, и из-за этого не смог проверить mangle для forward. Пожалуйста, поправь меня, если я где-то ошибся. Спасибо.

routik

Guest

31.07.2011 21:26:00

Допустим, у вас есть локальная сеть 192.168.100.0/24 (как в примере на вики), и вы делите её так, что 192.168.100.0/25 (192.168.100.1 - 192.168.100.127) будут помечены как GroupA и идти через WAN A, а 192.168.100.128/25 (192.168.100.128 - 192.168.100.255) — как GroupB и выходить через WAN B. Устройство, на котором запущен Hotspot, будет иметь локальный IP в этой сети. Это может быть .1, может .100, может .254 — у него один статический IP. Именно на этот IP будет проксироваться весь трафик, так что весь трафик, выходящий в WAN, будет выглядеть, будто идёт с этого IP-адреса.

Fewi, спасибо за объяснение, теперь я понимаю, почему у меня нет результата с моей конфигурацией. Это как раз мой случай, я использую hotspot, прозрачный прокси и DNS. Подскажите, как реально настроить эффективный баланс нагрузки с такой схемой?

http://blog.butchevans.com/2008/09/mikrotik-policy-routing-implementation-example/ — это пример, по которому я ориентировался. Спасибо.

fewi

Guest

31.07.2011 22:10:00

Политика маршрутизации не подходит для того, что вы пытаетесь сделать. Я бы вместо этого использовал PCC. Однако с прозрачным прокси будут проблемы. Исходный IP всегда одинаковый, и балансировка по исходному IP — единственный стабильный метод. Все остальные варианты могут привести к проблемам на форумах и защищённых сайтах, которые распределены по нескольким IP-адресам на стороне получателя и ожидают, что весь трафик будет исходить с одного и того же IP. Я бы: а) отключил прозрачный прокси, б) купил второй роутер, и в) запустил Hotspot на роутере за роутером, специально настроенным на PCC, с выключенным NAT на роутере Hotspot. В качестве критерия для PCC использовал бы src-address.

routik

Guest

31.07.2011 22:44:00

Я бы а) отключил прозрачный прокси, б) купил второй роутер, а затем в) запустил бы хотспот на роутере за роутером, выделенным под PCC, с отключённым NAT на хотспот-роутере. В качестве критерия PCC использовал бы src-address.

Хмм... глубоко вздохну... Я использую прокси, потому что у меня есть дата-пакет от моего первого интернет-провайдера (ISP1), который надёжен и быстр, в то время как второй провайдер (ISP2) даёт мне безлимитный ежемесячный доступ (не дата-пакет), но он не такой быстрый и стабильный, как ISP1. В основном мы используем интернет для серфинга и скачивания, поэтому мне кажется, что прокси поможет снизить расходы.

Исходя из этого, я хотел бы реализовать балансировку нагрузки так, чтобы весь тяжёлый TCP-трафик шёл через ISP2, в то время как обычный веб-сёрфинг — через ISP1, а также чтоб остальной немаркированный трафик, например ICMP, DNS, SMTP и прочее, тоже использовал ISP2.

Как можно это сделать без второго роутера, учитывая, что мой роутер работает на базе x86 HP десктопа?

Спасибо.

fewi

Guest

31.07.2011 23:13:00

Так понятнее. Если бы ты сразу объяснил, какой именно баланс нагрузки хочешь настроить, я бы не писал тот пост. Детали имеют значение. Сделай две маршрута по умолчанию с маркировкой маршрутизации: один через ISP1, другой через ISP2. Им поставь дистанцию 1. Сделай ещё два маршрута по умолчанию через этих же провайдеров, но без маркировки — они будут запасными на случай сбоя у ISP. Создай правила mangle в IP firewall, которые будут ставить метки пакетам с нужными маркировками маршрутизации. Отметь DNS и HTTP трафик в цепочке output меткой для ISP1. Это покроет и трафик, идущий от роутера, и клиентский трафик, проходящий через прозрачный HTTP-прокси. Весь остальной трафик в цепочке output пометь меткой ISP2. В цепочке forward, куда попадает весь клиентский трафик (кроме того, что перенаправляется на прокси и потому не проходит через forward), тоже ставь метку ISP2. Если хочешь, чтобы часть клиентского трафика шла через ISP1, сделай это здесь же. Скорее всего, это будет HTTPS, так как он обычно не идёт через прозрачный прокси — там будут ошибки с сертификатами. Вот и всё. И напоследок для тех, кто читает тему: я не советовал второй роутер из-за ограничений твоего устройства, а просто потому, что тогда было непонятно, что ты пытаешься сделать, и PCC казался самым универсальным вариантом. Сочетать PCC, прокси и Hotspot намного проще на двух роутерах, чем на одном.

fewi Guest	#7 0 01.08.2011 15:22:00 Давайте начнем с привычной информации. Пришлите вывод команд “/ip address print detail”, “/ip route print detail”, “/interface print”, “/ip firewall export”, “/ip hotspot export” и точную схему сети.

routik

Guest

01.08.2011 16:21:00

КОДЫ УДАЛЕНЫ. ВНИМАНИЕ: на данный момент интерфейсы WAN и мост активны, но для меня они ничего не делают. Пожалуйста, проявите терпение, я не умею пользоваться Visio или другими приложениями для создания сетевых схем. Но моя сеть довольно простая: 2 WAN — ISP1 (маленький роутер от провайдера) и ISP2 (PPP 3G интернет-модем в режиме PPP-клиента), 1 LAN — это хотспот (10.10.99.0/24, 10.10.99.1 — шлюз для всего хотспота).

fewi

Guest

01.08.2011 16:39:00

Важно показывать «print detail» вместо просто «print», чтобы были видны все параметры. Например, команда «/ip route print» не показывает маркировку маршрутов. А «/ip route print detail» – показывает. Поскольку вы используете маркировку маршрутов, нужно её показывать. Пожалуйста, опубликуйте эти разделы снова или отредактируйте свой пост.

routik Guest	#10 0 01.08.2011 17:28:00 Сообщение отредактировано. Пожалуйста, подтвердите. Спасибо.

fewi

Guest

#11

01.08.2011 17:34:00

Окей. Сначала создадим loopback-интерфейс, чтобы привязать к нему прокси, и присвоим ему IP-адрес.
/interface bridge add name=loopback0
/ip address add address=172.31.255.255/32 interface=loopback0

Дальше настроим IP-прокси так, чтобы он использовал этот адрес как исходящий для всего трафика.
/ip proxy set src-address=172.31.255.255

Убедитесь, что этот IP также проходит через NAT. Уберите это:
/ip firewall nat
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=no src-address=10.10.99.0/24

И замените на это:
/ip firewall address-list
add list=rfc1918 address=10.0.0.0/8
add list=rfc1918 address=172.16.0.0/12
add list=rfc1918 address=192.168.0.0/16

/ip firewall
add chain=srcnat out-interface="GLO ROUTER" src-address-list=rfc1918 action=masquerade
add chain=srcnat out-interface="VISAFONE" src-address-list=rfc1918 action=masquerade

Замените свои правила mangle на эти. Нет особой необходимости маркировать что-то для VISA1 — просто маркируем для GLO1 с помощью routing mark, а VISA1 используем как шлюз по умолчанию для всего остального. Вставляйте сюда все, что хотите пропускать через GLO1:
/ip firewall mangle
add chain=output comment="proxy traffic" src-address=172.31.255.255 action=mark-routing new-routing-mark=GLO1
add chain=forward comment="Hotspot HTTPS traffic" in-interface=LAN protocol=tcp dst-port=443 action=mark-routing new-routing-mark=GLO1

/ip route
add dst-address=0.0.0.0/0 gateway=172.16.0.1 routing-mark=GLO1
add dst-address=0.0.0.0/0 gateway=VISAFONE distance=1
add dst-address=0.0.0.0/0 gateway=172.16.0.1 distance=2

Если и после этого не заработает — у меня больше идей нет.

routik Guest	#12 0 01.08.2011 17:52:00 Большое спасибо, Fewi, я сделаю это позже сегодня, потому что сейчас на Сети много народа. Отпишусь, как только закончу.

routik

Guest

#13

03.08.2011 08:24:00

Вчера я путешествовал и вернулся поздно ночью. Сегодня утром пришёл очень рано, и из того, что я успел сделать, вот одна ошибка, которая возникла, когда я попытался запустить этот код:

add chain=forward comment="Hotspot HTTPS traffic" in-interface=LAN protocol=tcp dst-port=443 action=mark-routing new-routing-mark=GLO1

Ошибка: routing-mark разрешён только в цепочках output и prerouting.

Затем я заметил, что трафик не идёт на VISAFONE. Активный WAN — это тот, который я использую для прямого входа в роутер, я обычно включаю и использую его только для доступа к роутеру с моего ноутбука. Ничего больше.

routik Guest	#14 0 09.08.2011 14:24:00 Наконец-то я сделал это. Вот правила mangle, которые я использовал. 0 ;;; httpTraffic chain=prerouting action=mark-routing new-routing-mark=GLO1 passthrough=no protocol=tcp src-address=10.10.99.0/27 dst-port=80 1 chain=prerouting action=mark-routing new-routing-mark=GLO1 passthrough=no protocol=tcp dst-port=443 2 ;;; DNS traffic chain=prerouting action=mark-routing new-routing-mark=VISA1 passthrough=no protocol=tcp dst-port=53 3 ;;; Любой другой трафик chain=prerouting action=mark-routing new-routing-mark=VISA1 passthrough=no

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры