IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Com funciona?

Doncs bàsicament es poden definir normes (similar al que es fa amb Linux amb l'ordre ip rule add) anant a la pestanya Rules del menú IP, submenú Routes.

IP > Routes > Rules

Podeu posar les normes per tres criteris:

  • IP d'origen
  • IP de destinació
  • Marques en paquets o Routing mark (es poden marcar paquets amb mangle utilitzant normes de firewall)
  • Per interfície d'entrada del paquet.

El més important és que un cop creats els criteris escollim un nom de taula de rutes. Ara aquesta taula de rutes la podem utilitzar al afegir rutes a la pestanya Routes. Al afegir una ruta la nova taula de rutes apareix al desplegable:

Routing Mark

Policy Rules

El submenu és:

/ip route rule

Propietats

  • action (drop | unreachable | lookup; default: unreachable): Acció a prendre si s'aplica la norma
  • dst-address (IP address mask) destination IP address/mask
  • interface (name; default: ""): interface through which the gateway can be reached
  • routing-mark (name; default: ""): mark of the packet to be mached by this rule. To add a routing mark, use '/ip firewall mangle' commands
  • src-address (IP address mask): source IP address/mask
  • table (name; default: "": routing table, created by user

ECMP (Equal Cost Multi-Path) Routing

ECMP (Equal Cost Multi-Path) permet l'encaminament de paquets a través de múltiples camins amb el mateix cost. S'utilitza en Load Balancing. Amb encaminament ECMP es pot indicar més d'un gateway per a una mateixa xarxa de destinació. Amb ECMP un router té potencialment múltiples next hops per a una destinació donada.

IMPORTANT: Cal tenir en compte que aquesta opció no proporciona failover

S'escull un dels gateways dels camins possibles per a una mateix parell de adreces IP d'origen i destinació. Això provoca que una mateixa connexió FTP o una descarrega de fitxer vagi tota la connexió per un mateix link (línia), però un altre connexió port anar per un enllaç diferent. Això té l'avantatge que els paquets TCP arriben tots ordenats i no cal reordenar-los evitant el mal rendiment d'una connexió TCP quan s'han de reordenar paquets.

Les rutes ECMP es poden crear amb protocols d'encaminament dinàmic (poden haver-hi rutes de mateix cost si els cost de les interfícies s'ajusta adequadament) o afegint una ruta estàtica separant el múltiples gateways per comes:

/ip route add gateway=192.168.0.1,192.168.1.1

Exemples

Policy routing, combinant Squid, routerOS/ROuterboard i varies ADSLs o sortides a Internet. Projecte OpenFPnet

Xarxes amb sortida a Internet controlada per Proxy:

Cal tenir en compte:

  • Es poden controlar un màxim de 5 xarxes per servidor Proxy virtualitzat en Proxmox. El màxim de targetes de xarxa virtuals al Proxmox és de 6, per tant 5 xarxes LAN i una WAN connectada a la routerboard que dona accés a Internet
  • El proxy squid s'ha de configurar amb l'opció tcp_outgoing_address. Vegeu Load_Balancing#Squid_i_tcp_outgoing_address. La següent taula mostra el "mapeig" que es fa per "convertir" totes les adreces que venen d'un mateix rang a una adreça IP d'origen que serà l'utilitzada per fer Policy Routing o més concretament Source Routing (encaminarem per IP d'origen)

Aquestes són les dades d'exemple d'un Institut. Institut de l'Ebre:

Xarxa/VLAN Rang de xarxa Servidor proxy Adreça IP origen sortida Proxy Taula d'encaminament
Alumnat/VLAN 13 172.16.0.0/X cop 192.168.50.201 alumnat
Professorat/VLAN 2 192.168.0.0/24 cop 192.168.50.202 professorat
Gestio/VLAN 10 192.168.30.0/24 cop 192.168.50.202 gestio
Docent-wifi/VLAN 3 192.168.130.0/24 cop 192.168.50.203 docentwifi
electrics/VLAN ?? 192.168.6.0/24 cop 192.168.50.204 electrics
Aula 20.1/VLAN ?? 192.168.201.0/24 cop 192.168.50.205 aula201
Aula 20.2/VLAN ?? 192.168.201.0/24 cop 192.168.50.206 aula202
Aula 20.3/VLAN ?? 192.168.201.0/24 cop 192.168.50.207 aula203
Aula 20.4/VLAN ?? 192.168.201.0/24 cop 192.168.50.208 aula204
Aula 31 /VLAN ?? 192.168.201.0/24 cop 192.168.50.209 aula31

Configuració de la routerboard:

> ip
/ip> route 
/ip route> rule 
/ip route rule> print
Flags: X - disabled, I - inactive 
0   src-address=192.168.50.201/32 action=lookup-only-in-table table=alumnat 

1   src-address=192.168.50.203/32 action=lookup-only-in-table table=gestio 

2   src-address=192.168.50.204/32 action=lookup-only-in-table table=electrics 

3   src-address=192.168.50.205/32 action=lookup-only-in-table table=aula201 

4   src-address=192.168.50.206/32 action=lookup-only-in-table table=aula202 

5   src-address=192.168.50.207/32 action=lookup-only-in-table table=aula203 

6   src-address=192.168.50.208/32 action=lookup-only-in-table table=aula204 

7   src-address=192.168.50.209/32 action=lookup-only-in-table table=aula31 

8   src-address=192.168.50.202/32 action=lookup-only-in-table table=professorat

> export
# sep/05/2012 08:02:45 by RouterOS 5.14
# software id = KUWV-FVVF
#
/ip route rule
add action=lookup-only-in-table disabled=no src-address=192.168.50.201/32 \
    table=alumnat
add action=lookup-only-in-table disabled=no src-address=192.168.50.203/32 \
    table=gestio
add action=lookup-only-in-table disabled=no src-address=192.168.50.204/32 \
    table=electrics
add action=lookup-only-in-table disabled=no src-address=192.168.50.205/32 \
    table=aula201
add action=lookup-only-in-table disabled=no src-address=192.168.50.206/32 \
    table=aula202
add action=lookup-only-in-table disabled=no src-address=192.168.50.207/32 \
    table=aula203
add action=lookup-only-in-table disabled=no src-address=192.168.50.208/32 \
    table=aula204
add action=lookup-only-in-table disabled=no src-address=192.168.50.209/32 \
    table=aula31
add action=lookup-only-in-table disabled=no src-address=192.168.50.202/32 \
    table=professorat

Vegeu també

Enllaços externs