Pertimbangkan tata letak jaringan berikut:
Ringkas Konfigurasi ekspor dari gateway router: / ip address add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=ISP1 add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=ISP2 / ip firewall mangle add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=LAN add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=LAN add chain=prerouting in-interface=ISP1 connection-mark=no-mark action=mark-connection \ new-connection-mark=ISP1_conn add chain=prerouting in-interface=ISP2 connection-mark=no-mark action=mark-connection \ new-connection-mark=ISP2_conn add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \ per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=ISP1_conn add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \ per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=ISP2_conn add chain=prerouting connection-mark=ISP1_conn in-interface=LAN action=mark-routing \ new-routing-mark=to_ISP1 add chain=prerouting connection-mark=ISP2_conn in-interface=LAN action=mark-routing \ new-routing-mark=to_ISP2 add chain=output connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1 add chain=output connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2 / ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping / ip firewall nat add chain=srcnat out-interface=ISP1 action=masquerade add chain=srcnat out-interface=ISP2 action=masquerade Penjelasan Mari kita asumsikan konfigurasi ini: IP address / ip address add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=ISP1 add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=ISP2 Router memiliki dua interface (ISP) dengan alamat 10.111.0.2/24 dan 10.112.0.2/24. LAN interface memiliki alamat IP dari 192.168.0.1/24 Policy routing / ip firewall mangle add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=LAN add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=LAN Dengan kebijakan routing memungkin untuk memaksa semua lalu lintas ke gateway tertentu, bahkan jika lalu lintas ditujukan untuk host (lainnya bahwa gateway) dari jaringan yang terhubung. Ini cara routing loop akan dihasilkan dan komunikasi dengan host yang akan mungkin. Untuk menghindari situasi ini, kita perlu untuk memungkinkan penggunaan tabel routing default untuk lalu lintas jaringan yang terhubung. add chain=prerouting in-interface=ISP1 connection-mark=no-mark action=mark-connection \ new-connection-mark=ISP1_conn add chain=prerouting in-interface=ISP2 connection-mark=no-mark action=mark-connection \ new-connection-mark=ISP2_conn Pertama hal ini diperlukan untuk mengelola koneksi dimulai dari luar - Balasan harus meninggalkan melalui interface yang sama (dari IP publik yang sama) permintaan yang datang. Kami akan menandai semua sambungan baru yang masuk, untuk mengingat interface. add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \ per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=ISP1_conn add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \ per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=ISP2_conn Tindakan mark-routing dapat digunakan hanya dalam mangle jaringan output dan prerouting, tetapi mangle jaringan prerouting menangkap semua lalu lintas yang akan router itu sendiri. Untuk menghindari hal ini kita akan menggunakan dst-address-type=!local. Dan dengan bantuan PCC baru kami akan membagi lalu lintas menjadi dua kelompok berdasarkan sumber dan tujuan. add chain=prerouting connection-mark=ISP1_conn in-interface=LAN action=mark-routing \ new-routing-mark=to_ISP1 add chain=prerouting connection-mark=ISP2_conn in-interface=LAN action=mark-routing \ new-routing-mark=to_ISP2 add chain=output connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1 add chain=output connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2 Maka kita perlu untuk menandai Semua paket dari hubungan-hubungan dengan tanda yang tepat. Seperti kebijakan routing diperlukan hanya untuk lalu lintas ke Internet, jangan lupa untuk menentukan pilihan di interface. / ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping Membuat rute untuk setiap routing-mark add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping Untuk mengaktifkan failover, hal ini diperlukan untuk memindahkan ke gateway yang aktif jika link salah satu link mati. (dan itu akan terjadi hanya jika check-gateway opsi ini aktif) NAT / ip firewall nat add chain=srcnat out-interface=ISP1 action=masquerade add chain=srcnat out-interface=ISP2 action=masquerade Sebagai routing keputusan sudah membuat kita hanya perlu aturan yang akan memperbaiki src-address untuk semua paket-paket keluar. Jika paket ini akan meninggalkan melalui wlan1 akan NATed untuk 10.112.0.2, jika via wlan2 kemudian NATed untuk 10.111.0.2
