1./ Cấu hình kết nối Internet cho bộ định tuyến.
Bộ định tuyến kết nối 2 đường Internet kiểu PPPoE có địa chỉ IP công cộng động, trong đó mạng cục bộ có địa chỉ 172.16.0.1/24.
Đối với kết nối Internet PPPoE, cấu hình sẽ tương tự như các bài viết trước đó. Người dùng có thể xem tại liên kết này.
2./ Định tuyến theo chính sách.
Bước đầu tiên, lưu lượng truy cập giữa mạng cục bộ không phải xử lý bởi PCC, bằng cách sử dụng hành động chấp nhận.
Câu lệnh có thể thực hiện.
/ip firewall mangle
add action=accept chain=prerouting dst-address=172.16.0.0/24 src-address=172.16.0.0/24
Bước tiếp theo, để quản lý các kết nối được bắt đầu từ bên ngoài vào bộ định tuyến, kết nối trả lời từ bộ định tuyến phải đi ra qua cùng một giao diện (từ cùng một IP công cộng) khi có yêu cầu kết nối. Thực hiện đánh dấu (mark) để đánh dấu tất cả các kết nối đến, để ghi nhớ giao diện được sử dụng.
Hãy lưu ý chuỗi prerouting trong hàng động đánh dấu các kết nối. Đối với các kết nối trỏ tới bộ định tuyến, đã bao gồm các kết nối tới bộ định tuyến và kết nối vào mạng cục bộ, chuỗi prerouting thực hiện “bắt” tất cả & đánh dấu với tên đánh dấu “WAN1In” và “WAN2In”.
Tiếp theo, thêm quy tắc PCC để chia lưu lượng thành hai nhóm dựa trên địa chỉ nguồn và địa chỉ đích (cả hai địa chỉ). Vì tốc độ kết nối của hai ISP là giống nhau (30 Mbps và 30 Mbps), chúng tôi chia tải lưu lượng thành 2 (hai) phần. Một phần đầu tiên sẽ đi qua cổng ISP-1 và 1 phần còn lại sẽ đi qua cổng ISP-2. Để tránh việc đánh dấu các lưu lượng từ mạng cục bộ truy cập tới bộ định tuyến, chúng tôi sẽ sử dụng dst-address-type =!local cho các chuỗi.
Sau khi quy tắc PCC được tạo, hãy thêm hành động đánh dấu định tuyến dựa trên dấu kết nối đã được tạo. Bởi vì định tuyến chính sách chỉ áp dụng cho lưu lượng truy cập ra/vào internet. Đừng quên định tuyến [1] Lưu lượng đã đánh dấu từ mạng cục bộ và [2] lưu lượng truy cập vào bộ định tuyến từ bước trước đó.
Sau đây là tổng hợp các quy tắc về việc tạo đánh dấu cân bằng tải PCC trên mangle trong tường lửa.
Và tập lệnh
/ip firewall mangle
add action=accept chain=prerouting dst-address=172.16.0.0/24 src-address=172.16.0.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=pppoe-out1 new-connection-mark=WAN1In passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=pppoe-out2 new-connection-mark=WAN2In passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=X passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0 src-address=172.16.0.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=Y passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1 src-address=172.16.0.0/24
add action=mark-routing chain=prerouting connection-mark=X new-routing-mark=WAN1Out passthrough=yes src-address=172.16.0.0/24
add action=mark-routing chain=prerouting connection-mark=Y new-routing-mark=WAN2Out passthrough=yes src-address=172.16.0.0/24
add action=mark-routing chain=output connection-mark=WAN1In new-routing-mark=WAN1Out passthrough=yes
add action=mark-routing chain=output connection-mark=WAN2In new-routing-mark=WAN2Out passthrough=yes
Sau khi cấu hình đánh dấu kết nối và đánh dấu định tuyến hoàn tất, hãy thêm quy tắc định tuyến mặc định vào menu IP > Route, quy tắc này dựa trên định tuyến đánh dấu đã được thực hiện trước đó.
Sau đây là một ví dụ về dòng lệnh được sử dụng.
/ip route
add check-gateway=ping distance=1 gateway=pppoe-out1 routing-mark=WAN1Out
add check-gateway=ping distance=1 gateway=pppoe-out2 routing-mark=WAN2Out
