პროვაიდერი გვაძლევს ორ ან ორზე მეტ IP -ს ერთ საბნეტიდან , თუნდაც სხვადასხვა საბნეტიდან , გვინდა გავანაწილოთ ეს გლობალ IP –ბი ქსელის სხვადასხვა სეგმენტზე , სატესტოდ განვიხილოდ შემდეგი ჩართვის სქემა :
პროვაიდერი გვაძლევს ორ IP -ს : 10.1.101.10/24 , 10.1.101.18/24 gateway:10.1.101.1
ქსელში გვაქვს ორი სეგმენტი : 100.64.20.0/27 , 100.64.20.32/27
გვინდა რომ სეგმენტმა 100.64.20.0/27 იაროს სორს IP:10.1.101.10 ხოლო 100.64.20.32/27 IP:10.1.101.18 –ით .
mikrotik –ში ვახდენთ შემდეგ კონფიგურაციას:
პირველ რიგში ვამატებთ ორივე სეგმენის IP -ს :
/ip address add address=100.64.20.1/27 interface=ether2
/ip address add address=100.64.20.33/27 interface=ether3
/ip address add address=10.1.101.18/24 interface=ether1.wan
შემდეგ ფაერვოლში ვქმნით მისამართების ლისტს და ვამატებთ ჩვენს ქსელის სეგმენტებს :
/ip firewall address-list add list=Sect1 address=100.64.20.0/27
/ip firewall address-list add list=Sect2 address=100.64.20.32/27
შემდეგ გადავდივართ მანგლში და ვამატებთ როუტინგ მარკ ჩანაწერს ორივე სეგმენტის როუტინგისთვის:
/ip firewall mangle add chain=prerouting src-address-list=Sect1 new-routing-mark=to-ip1 action=mark-routing
/ip firewall mangle add chain=prerouting src-address-list=Sect2 new-routing-mark=to-ip2 action=mark-routing
ვაკეთებთ ნატირებას (masquerade) :
ბოლოს ვამატებთ default როუტებს ორივე სეგმენტისთვის :
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.101.1 pref-src=10.1.101.10 routing-mark=to-ip1 /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.101.1 pref-src=10.1.101.18 routing-mark=to-ip2
ამგვარი კონფიგურაციით სეგმენტი Sect1 / 100.64.20.0/27 გარეთ გავა სორს IP:10.1.101.10 –ით ხოლო სეგმენტი Sect2 / 100.64.20.32/27 გარეთ გავა სორს IP:10.1.101.18 –ით .
ასევე შესაძლებელია ამ ორივე საბნეტიდან IP–ბი ჩვენი შეხედულებისამებრ სათითაოდ გავანაწილოთ სეგმენტში , ასე მაგალითად:
/ip firewall address-list add list=Sect1 address=100.64.20.2
/ip firewall address-list add list=Sect1 address=100.64.20.15
/ip firewall address-list add list=Sect1 address=100.64.20.27
/ip firewall address-list add list=Sect1 address=100.64.20.35
/ip firewall address-list add list=Sect1 address=100.64.20.40
/ip firewall address-list add list=Sect2 address=100.64.20.3
/ip firewall address-list add list=Sect2 address=100.64.20.20
/ip firewall address-list add list=Sect2 address=100.64.20.21
/ip firewall address-list add list=Sect2 address=100.64.20.37
/ip firewall address-list add list=Sect2 address=100.64.20.39
პროვაიდერი გვაძლევს ორ IP -ს : 10.1.101.10/24 , 10.1.101.18/24 gateway:10.1.101.1
ქსელში გვაქვს ორი სეგმენტი : 100.64.20.0/27 , 100.64.20.32/27
გვინდა რომ სეგმენტმა 100.64.20.0/27 იაროს სორს IP:10.1.101.10 ხოლო 100.64.20.32/27 IP:10.1.101.18 –ით .
პირველ რიგში ვამატებთ ორივე სეგმენის IP -ს :
/ip address add address=100.64.20.1/27 interface=ether2
/ip address add address=100.64.20.33/27 interface=ether3
ასევე ვამატებთ პროვაიდერის IP –ებს:
/ip address add address=10.1.101.10/24 interface=ether1.wan/ip address add address=10.1.101.18/24 interface=ether1.wan
შემდეგ ფაერვოლში ვქმნით მისამართების ლისტს და ვამატებთ ჩვენს ქსელის სეგმენტებს :
/ip firewall address-list add list=Sect1 address=100.64.20.0/27
/ip firewall address-list add list=Sect2 address=100.64.20.32/27
შემდეგ გადავდივართ მანგლში და ვამატებთ როუტინგ მარკ ჩანაწერს ორივე სეგმენტის როუტინგისთვის:
/ip firewall mangle add chain=prerouting src-address-list=Sect1 new-routing-mark=to-ip1 action=mark-routing
/ip firewall mangle add chain=prerouting src-address-list=Sect2 new-routing-mark=to-ip2 action=mark-routing
ვაკეთებთ ნატირებას (masquerade) :
/ip firewall nat add action=masquerade chain=srcnat src-address-list=Sect1 out-interface=ether1.wan
/ip firewall nat add action=masquerade chain=srcnat src-address-list=Sect1 out-interface=ether1.wan
ბოლოს ვამატებთ default როუტებს ორივე სეგმენტისთვის :
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.101.1 pref-src=10.1.101.10 routing-mark=to-ip1 /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.101.1 pref-src=10.1.101.18 routing-mark=to-ip2
ამგვარი კონფიგურაციით სეგმენტი Sect1 / 100.64.20.0/27 გარეთ გავა სორს IP:10.1.101.10 –ით ხოლო სეგმენტი Sect2 / 100.64.20.32/27 გარეთ გავა სორს IP:10.1.101.18 –ით .
ასევე შესაძლებელია ამ ორივე საბნეტიდან IP–ბი ჩვენი შეხედულებისამებრ სათითაოდ გავანაწილოთ სეგმენტში , ასე მაგალითად:
/ip firewall address-list add list=Sect1 address=100.64.20.2
/ip firewall address-list add list=Sect1 address=100.64.20.15
/ip firewall address-list add list=Sect1 address=100.64.20.27
/ip firewall address-list add list=Sect1 address=100.64.20.35
/ip firewall address-list add list=Sect1 address=100.64.20.40
/ip firewall address-list add list=Sect2 address=100.64.20.3
/ip firewall address-list add list=Sect2 address=100.64.20.20
/ip firewall address-list add list=Sect2 address=100.64.20.21
/ip firewall address-list add list=Sect2 address=100.64.20.37
/ip firewall address-list add list=Sect2 address=100.64.20.39
Комментариев нет:
Отправить комментарий