เรียนรู้ PBR (Policy Base Routing) บนไมโครติก ด้วยตัวอย่างที่ใช้งานจริง

สวัสดีครับ วันนี้ขอเหลาเรื่องราวเกี่ยวกับ PBR ให้แฟนๆ ได้ลิ้มลองกันสักนิด

หลายคนคงสงสัยว่า PBR มันคืออะไร และใช้งานอย่างไร แล้วแบบไหนที่ควรนำมาใช้งาน ???

จริงๆ ด้วยตัวผมเอง ไม่ค่อยอยากใช้ศัพท์เทคนิคเท่าไหร่ แต่วันนี้ขอสักนิด ละกัน ฮ่าๆๆ PBR มาจากภาษาปะกิต จากคำว่า “Policy Base Routing” ครับ คิดว่าพูดแค่นี้คงเข้าใจแล้วน่ะครับ ฮ่าๆๆๆๆๆๆๆๆๆๆๆ

เอาแบบเข้าใจง่ายๆ นะครับ มันคือ วิธีการเลือกเส้นทางการเดินทาง โดยมีเงื่อนไขอะไรสักอย่างเป็นพื้นฐาน เออว่ะ ยิ่งอธิบายแม่งยิ่งงง…

เอาสักตัวอย่างแล้ว กัน เช่น เรามีรถ รถสองคัน….. มีผู้โดยสารทั้งหมด 8 คน แบบว่า เราจะแบ่งคนขึ้นรถ เพื่อเดินทาง เราให้สาวๆ 4  คน ไปนั่งรถหรู (เหมือนให้คนกลุ่มนี้ ไปวิ่งอินเตอร์เน็ตเส้นแรงๆ) และให้พวกหนุ่มๆ ไปขึ้นรถอีกคันซึ่งช้าหน่อย แต่ก็ไปถึง (เหมือนให้วิ่งไปที่เน็ตเส้นช้าๆ เน้นแบบว่า คนพวกนี้ ไม่ได้ใช้งานอินเตอร์เน็ตเพื่อทำงานเป็นหลัก)

อันนี้เป็นตัวอย่าง ง่ายๆ แบบ แบ่งชนชันวรรณะ ชัดเจน ฮ่าๆๆๆ แบบว่า พวกเอ็งไม่สำคัญ ไปคันนี้แล้วกัน

หรือ ถ้าในมุมมองการใช้งานจริงๆ เช่น ในบริษัท หรือองค์กร ของเรา มีอินเตอร์เน็ต 2 เส้น ซึ่งบางครั้ง อินเตอร์เน็ตที่เราเช่ามานั้น มีสปีด หรือความเร็ว ในการใช้งานเท่าๆ หรือ ใกล้เคียงกัน เช่น มีเน็ต 2 เส้น มีความเร็วเส้นล่ะ 200/100 Mbps และเรามีคนใช้งาน ประมาณ 200 คน

มีอินเตอร์เน็ต มากกว่า 1 เส้น เราจะจัดการมันอย่างไรดี ?

เป็นคำถามที่ดี และหลายๆ คนก็มีคำตอบในใจ หลากหลายเลย แต่สำหรับผม ผมว่า มันทำได้ เช่น

  1. ทำโหลดบาล๊านๆๆๆ สิจ๊ะ (มัดรวมแม่งเลย ง่ายดี)
  2. ทำแบบเน็ตสำรองก็ดีน่ะ ถ้าความเร็วมันไม่เท่ากัน Backup Failover
  3. ทำโพลีซีเร้าท์สิจ๊ะ… แบบว่า แบ่งเส้นทางวิ่ง กันให้ชัดเจนไปเลย (เออว่ะ อันนี้น่าสนใจ)
  4. ออนดีมานสิพี่.. แบบว่า ใช้เส้นแรกให้เต็มก่อน ค่อยวิ่งเส้นสอง.. (เออว่ะ .. ก็ดีน่ะ)

เห็นไหม.. มีหลายวิธีเลย แต่ในบทความนี้ อย่างที่บอก ผมขอพูดเรื่อง ทำโพลีซีเร้าท์ (Policy Base Routing)

ผมยกตัวอย่าง มีบริษัทหนึ่ง มีการแบ่งเน็ตเวิร์คออกเป็น 2 วง(เน็ตเวิร์ค) และมีอินเตอร์เน็ตใช้งาน 2 เส้น 100/50 Mb หนึ่งเส้น และ 200/100 Mb อีกหนึ่งเส้น

บริษัทไม่ต้องการแบ่งการใช้งานอินเตอร์เน็ต ดังนี้ ต้องการให้ ฝ่ายดูแลลูกค้า (Customer Service) ใช้อินเตอร์เน็ตเส้นที่มีความเร็วสูงสุด คือ เส้น 200/100 Mb เพราะต้องใช้สำหรับการรีโมท ช่วยเหลือลูกค้า

ส่วนอีกแผนก คือ ฝ่ายบัญชี ให้ใช้เน็ตอีกเส้นที่เหลือ คือ เส้นที่มีความเร็ว 100/50Mb

แต่มีเงื่อนไขว่า ถ้าอินเตอร์เน็ตทั้งสองเส้นทำงานปกติ ก็ให้แบ่งแยกการใช้งานอย่างที่ว่ามา ตอนแรก แต่เมื่อไหร่ ก็ตามที่อินเตอร์เน็ตเส้นใด เส้นหนึ่ง เสีย ใช้งานไม่ได้ ระบบต้องโยกการใช้งานไปที่เน็ตเส้นที่ใช้งานได้ แบบว่า ไปใช้เส้นที่เหลือร่วมกัน

จากตัวอย่างนี้ ผมทำเป็น LAB ขึ้นมาดังภาพนี้ครับ

โดยใน LAB มีคอมพิวเตอร์ 

  1. แผนก บัญชี คือ PC-1 และ PC-2 มีเน็ตเวิร์คไอพีหมายเลข 192.168.200.0/24
  2. แผนกดูแลลูกค้า (Customer Service) คือ PC-3 และ PC-4 มีเน็ตเวิร์คไอพีหมายเลข 192.168.100.0/24

โจทย์ที่ผมต้องการทำ จะเป็นอย่างนี้ครับ

  1. ต้องการให้ฝ่ายบัญชี เวลาใช้งานอินเตอร์เน็ต ให้วิ่งไปออกเส้นที่ 2
  2. ต้องการให้ฝ่ายบริการ เวลาใช้งานอินเตอร์เน็ต ให้วิ่งไปออกเส้นที่ 1
  3. ถ้าเส้นใดเส้นหนึ่งดับ ให้ทุกคนไปวิ่งอินเตอร์เน็ตเส้นที่เหลือ

เริ่มการคอนฟิกตามโจทย์นี้กันเลย

เราจะเริ่มคอนฟิกเร้าท์เตอร์หลักของเราก่อนเลย โดยการเชื่อมต่ออินเตอร์เน็ต 2 เส้นแบบ PPPoE-Client ดังตัวอย่าง

คำสั่งในการคอนฟิก

เชื่อมต่อผู้ให้บริการ ISP1

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=1234 user=USER1@OTIKISP

เชื่อมต่อผู้ให้บริการ ISP2

/interface pppoe-client
add add-default-route=yes default-route-distance=2 disabled=no interface=\
ether2 name=pppoe-out2 password=1234 user=USER2@OTIKISP

อธิบายเพิ่มเติม ในแต่ละคำสั่งทำหน้าที่อะไร

add  คือ คำสั่งที่ใช้สำหรับการเพิ่มรายการเข้าไปใหม่

interface คือ เป็นการระบุพอร์ตหรืออินเตอร์เฟส ที่เราต้องการเชื่อมต่อ เช่น ether1 หมายถึงเชื่อมต่อไปยังผู้ให้บริการ จากเราที่พอร์ต ether1 เป็นต้น

add-default-route  หมายถึง ให้ระบบทำการสร้างเร้าท์ติ้งอัตโนมัติ เมื่อเชื่อมต่อสำเร็จ (จะไปปรากฎที่เมนู /ip route) ถ้าเราต้องการให้สร้างอัตโนมัติ ก็คลิกเครื่องหมายถูกที่มัน หรือถ้าเป็นคำสั่งก็ใช้คำสั่ง yes คือให้สร้างอัตโนมัติน่ะจ๊ะ

default-route-distance เป็นการกำหนดค่าดิสแต้นส์ ซึ่งค่านี้มีความสำคัญ ถ้าเรามีอินเตอร์เน็ต 2 เส้น และไม่ได้ โหลดบาล๊านส์ เวลาออกเน็ต จะออกที่เส้นหลัก (จะไม่ออกสองเส้นพร้อมกัน) ดังนั้น เราสามารถกำหนดได้ว่าต้องการให้เส้นไหน เป็นเส้นหลักในการออกเน้ต ค่าน้อยสุด จะถูกทำใช้งานก่อนเสมอ ตัวอย่าง ผมใส่ เป็น 1 คือให้ pppoe-out1 เป็นเส้นหลัก (แต่เราสามารถบังคับเส้นได้ โดยไม่ดูที่ค่า Default distance นี้ ซึ่งก็คือเนื้อหาของบทความนี้ครับ

name คือการตั้งชื่อให้กับอินเตอร์เฟส ที่จะถูกสร้างขึ้นนี้ โดยค่าพื้นฐานระบบจะสร้างให้เป็น pppoe-out1 หรือ pppoe-out2 ไล่แบบนี้ไปเรื่อยๆ บางครั้ง เราจะงง ว่าอะไรคือ pppoe-out1 ว่ะ อะไรแบบนี้ เราสามารถตั้งชื่อตามใจเราชอบได้เลย เช่น ผมตั้งเป็น pppoe-out-tot (พอร์ตสำหรับเชื่อมต่อไปยัง TOT) และ pppoe-out-3bb (พอร์ตสำหรับเชื่อต่อไปยัง 3BB) เป็นดอก….(เป็นต้น ฮ่าๆๆๆ เอาฮาเฉยๆ)

user คือ บัญชีผู้ใช้ที่ทางผู้ให้บริการให้กับเรามา ส่วนมาก บ้านเราจะลงท้ายเป็น xxxx@fttxhome อะไรประมาณนี้ครับ แล้วแต่ผู้ให้บริการ

password  คือ รหัสผ่านที่ผู้ให้บริการให้เรามาครับ

เมื่อคอนฟิกเรียบร้อยแล้ว ลองใช้คำสั่ง Print เพื่อตรวจสอบว่าระบบสามารถเชื่อมต่อได้หรือไม่ จากภาพ ขึ้นสถานะ ตัวอักษร “R” ขึ้นด้านหน้า pppoe-out1 และ pppoe-out2 แสดงว่าระบบได้ทำการเชื่อมต่อเรียบร้อยแล้ว พร้อมใช้งาน “R = Running”

เพิ่มเติม : ผมกำหนดให้ pppoe-out1 เป็นเส้นหลักในการเชื่อมต่อ โดยการกำหนด default-route-distance = 1 ไว้ ซึ่งถ้าดูที่ pppoe-out2 ผมกำหนดค่านี้ไว้เป็น 2 ครับ คือ กำหนดให้เป็นเส้นสำรอง

เกร็ดเล็กๆ เพิ่มเติม : สถานะที่แสดง (Flags) ประกอบไปด้วย “X” คือ Disabled หมายถึง ระงับ หรือ หยุดการใช้งานชั่วคราว (ไม่ค้างคืน) , “I” คือ invalid หมายถึง โมฆะ .. (ไม่ใช้งาน ผิดพลาด อะไรพวกนี้แหละ) และสุดท้ายคือ “R” คือ running หมายถึง กำลังทำงานอยู่ ใช้งานอยู่ 

ตรวจสอบว่า หลังจากเชื่อมต่อแล้ว เราได้ไอพีเลขอะไร ใช้คำสั่ง /ip address print ดูตามภาพครับ

ถ้าใน Winbox ลองเข้าไปที่ เมนู IP > address ครับ ส่วนคำสั่งก็ลองพิมพ์ /ip address print

เกร็ดเล็กๆ เพิ่มเติม : สถานะ หรือ Flags ด้านหน้า จะเป็นมีตัวอักษร “D” ขึ้นด้านหน้า หมายถึง รายการนี้ ถูกสร้างขึ้นโดยอัตโนมัติ หรือ สร้างโดยระบบเอง ไม่สามารถลบ แก้ไขใดๆ ได้น่ะจ๊ะ จะบอกให้

จากภาพ คำสั่ง จะเห็นว่า pppoe-out1 และ pppoe-out2 ได้เชื่อมต่อเรียบร้อยแล้ว ซึ่ง
pppoe-out1  ได้หมายเลขไอพี 11.11.11.50/32
pppoe-out2  ได้หมายเลขไอพี 22.22.22.50/32

กำหนดค่าวีแลน (VLAN) เพื่อสร้างเน็ตเวิร์คภายในขึ้นมา 2 วง

เนื่องจากว่า ผมต้อการจำลองการทำงาน โดยแยกเน็ตเวิร์คออกเป็น 2 วง เพื่อให้เห็นภาพชัดเจน

จุดประสงค์การสร้าง เพื่อที่จะแยกการใช้งาน บังคับเส้นทางเน็ตเวิร์คแต่ละวง ให้ออกอินเตอร์เน็ตคนละเส้น ตามโจทย์ ด้านบนครับ (แยกแผนก บัญชี กับ บริการลูกค้า ออกเป็นเน็ตเวิร์ค 2 วง)

/interface vlan
add interface=ether5 name=vlan100 vlan-id=100
add interface=ether5 name=vlan200 vlan-id=200

อธิบายเพิ่มเติม ในแต่ละคำสั่งทำหน้าที่อะไร

/interface vlan หมายถึง เข้าไปที่เมนู interface และ ไปที่เมนู VLAN (ถ้าใช้จาก Winbox)

add หมายถึง เพิ่มรายการใหม่

interface หมายถึง พอร์ต ที่ต้องการสร้างวีแลน หรือ เรียกอีกอย่างว่า ทรั๊งพอร์ต (Trunk Port)

name หมายถึงชื่อ อินเตอร์ใหม่ที่เราต้องการสร้าง เช่น ผมใช้ชื่อ vlan100 อาจจะไม่สื่อ จริงๆ ถ้าอินเตอร์เฟสนี้ใช้งานเฉพาะฝ่ายบัญชี เราอาจจะตั้งชื่อว่า vlan100-account อะไรประมาณนี้ เผื่อวันหลังมาดูในระบบจะได้เข้าใจง่ายๆ เป็นดอก (เป็นต้น….)

vland-id คือ การกำหนดวีแลนไอดีครับ ใส่หมายเลขลงไปได้เลย เช่น ผมจะสร้างวีแลนไอดี 100 ผมก็ใส่ 100 ครับ

จากกำหนดค่าไอพีให้แต่ละวีแลน VLAN

/ip address
add address=192.168.100.1/24 interface=vlan100 network=192.168.100.0
add address=192.168.200.1/24 interface=vlan200 network=192.168.200.0

อธิบายเพิ่มเติม ในแต่ละคำสั่งทำหน้าที่อะไร

/ip address หมายถึง เข้าไปที่เมนู ip และไปที่ เมนู address

add หมายถึง เพิ่มรายการใหม่

address หมายถึง หมายเลขไอพีที่ต้องการกำหนดให้กับพอร์ตนั้น ๆ เช่น กำหนดเป็น 192.168.100.1/24 จริง เราสามารถใส่แบบนี้ได้ครับ 192.168.100.1/255.255.255.0 (กรณีเราไม่รู้ว่า 255.255.255.0 มันคือซับเน็ตมาร์กอะไร

interface คือ ให้เลือกอินเตอร์เฟส หรือพอร์ต ที่เราต้องการกำหนดไอพีให้ ตัวอย่าง ผมใช้พอร์ต vlan100 เป็นต้น

network คือ ใส่เลขไอพีหมายเลขแรก ในซัปเน็ตของเรา (ไอพีแรกในซัปเน็ต จะเป็นเน็ตเวิร์ค แอดเดรส (Network Address) และ ไอพีสุดท้ายของเน็ตเวิร์ค จะเป็น บรอดแคส แอดเดรส (Broadcast address) ปกติแล้ว เราไม่ต้องใส่ก็ได้ครับ ระบบจะคำนวนให้เองจากค่าไอพีที่เราใส่ในช่อง address ครับ

 

จากนั้นไปสร้าง Firewall NAT ครับ (อนุญาตให้เครื่องลูกข่ายออกอินเตอร์เน็ตได้)

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=pppoe-out2

อธิบายเพิ่มเติม ในแต่ละคำสั่งทำหน้าที่อะไร

/ip firewall nat หมายถึง ให้เราไปที่เมนู IP แล้วไปที่เมนู Firewall และ ไปที่เมนู NAT ครับ

chain คือการกำหนดแน็ตครั้งนี้ จะทำการแปลงไอพีจากต้นทาง ไอพีภายในของเราน่ะ เพื่อให้ภายในของเรา ออกสู่อินเตอร์เน็ตได้ (โดยหลักการแล้ว เราจะไปคุยกับคนอื่นในโลกนี้ได้ เราต้องเป็นไอพีจริง ดังนั้น เนื่องจากไอพีภายในของเราไม่ใช่ไอพีจริง ระบบก็ต้องจำเป็นต้นแปลงร่างก่อน ฮ่าๆๆ มีค่าให้เรากำหนดเป็น srcnat และ dstnat ครับ

out-interface คือ กำหนดพอร์ตที่ เราจะให้เขาออก กรณีเรามีหลายๆ เส้น เราก็กำหนดเข้าไป เช่น ตัวอย่างผมมี 2 กฎ ผมก็สร้าง ไว้ 2 กฎ คือ สำหรับ ออกเส้นทางที่ 1 และ 2 (จริง ๆ เราไปสร้างอินเตอร์เฟสลิส ก็ได้น่ะ เราจะได้สร้างแค่กฎเดียว แต่ไว้คราวหน้า ทำให้เข้าใจง่ายๆ ไปก่อน ตอนนี้)

action = masquerade คือ สวมหน้ากากออกไป… ทำการแปลงค่าออกไป (ค่าไอพี ให้ไปเป็น Public IP หรือ ไอพีที่เราสามารถไปพูดคุยกับโลกภายนอกได้นั่นเอง)

สร้างแอดเดรสลิส ก่อน เพื่อจัดกลุ่มวงเน็ตเวิร์ค

address-list เป็นฟังก์ชั่นหนึ่งที่น่าสนใจและเหมาะแก่การใช้งานมากๆ สำหรับไมโครติกเอาไว้สำหรับการจัดกลุ่มไอพีต่างๆ เช่น ตัวอย่าง มีเน็ตเวิร์ค 2 วง ผมก็ตั้งชื่อว่า NETWORK แล้วผมก็กำหนดไอพีเข้าไป ทั้งสองวง (ตัวอย่างด้านล่าง จะเห็นว่ามีกลุ่มชื่อว่า NETWORK อยู่ 2 บรรทัด

และผมก็สร้าง Address-List ขึ้นมาอีก 2 ชื่อ คือ TO_ISP1 สำหรับกำหนดว่า กลุ่มนี้น่ะ จะให้ไปออกเน็ตที่ ISP1 (คือจะเอาไปใช้ในการทำ Firewall ในเมนูต่อๆ ไป และ ชื่อ TO_ISP2 สำหรับ กำหนดให้กลุ่มนี้ไปออกเน็ตที่ ISP2

/ip firewall address-list
add address=192.168.100.0/24 list=NETWORK
add address=192.168.200.0/24 list=NETWORK
add address=192.168.100.0/24 list=TO_ISP1
add address=192.168.200.0/24 list=TO_ISP2

ทำการมาร์ก(กาหัว) กลุ่มเน็ตเวิร์ค ที่ต้องการ เพื่อนำไปแยกเส้นทางการเดิน ในขึ้นต่อไป

/ip firewall mangle
add action=mark-routing chain=prerouting comment=”Force to ISP1″ \
new-routing-mark=TO_ISP1 passthrough=no src-address-list=TO_ISP1
add action=mark-routing chain=prerouting comment=”Force to ISP2″ \
new-routing-mark=TO_ISP2 passthrough=no src-address-list=TO_ISP2

บังคับเส้นทางการเดินทาง

/ip route
add distance=1 gateway=pppoe-out1 routing-mark=TO_ISP1
add distance=1 gateway=pppoe-out2 routing-mark=TO_ISP2

หมายเหตุ : คุณสามารถกำหนด dhcp server ให้ทำงานได้พร้อมๆ กันไปเลยได้ กรณีไม่อยากมาทำการฟิกไอพีเอง

ตัวอย่างสคริป เต็มๆ สำหรับ LAB นี้

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=1234 user=USER1@OTIKISP
add add-default-route=yes default-route-distance=2 disabled=no interface=\
ether2 name=pppoe-out2 password=1234 user=USER2@OTIKISP
/interface vlan
add interface=ether5 name=vlan100 vlan-id=100
add interface=ether5 name=vlan200 vlan-id=200
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.100.2-192.168.100.254
add name=dhcp_pool1 ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan100 name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=vlan200 name=dhcp2
/ip address
add address=192.168.100.1/24 interface=vlan100 network=192.168.100.0
add address=192.168.200.1/24 interface=vlan200 network=192.168.200.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.100.0/24 gateway=192.168.100.1
add address=192.168.200.0/24 gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.100.0/24 list=NETWORK
add address=192.168.200.0/24 list=NETWORK
add address=192.168.100.0/24 list=TO_ISP1
add address=192.168.200.0/24 list=TO_ISP2
/ip firewall mangle
add action=accept chain=prerouting dst-address-list=NETWORK src-address-list=\
NETWORK
add action=mark-routing chain=prerouting comment=”Force to ISP1″ \
new-routing-mark=TO_ISP1 passthrough=no src-address-list=TO_ISP1
add action=mark-routing chain=prerouting comment=”Force to ISP2″ \
new-routing-mark=TO_ISP2 passthrough=no src-address-list=TO_ISP2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=pppoe-out2
/ip route
add distance=1 gateway=pppoe-out1 routing-mark=TO_ISP1
add distance=1 gateway=pppoe-out2 routing-mark=TO_ISP2
/system identity
set name=GW

ทดสอบการทำงาน

จะเห็นว่าคอมพิวเตอร์กลุ่ม 192.168.200.0/24 จะถูกบังคับให้ออกเน็ตที่เส้น pppoe-out2

จะเห็นว่าคอมพิวเตอร์กลุ่ม 192.168.100.0/24 จะถูกบังคับให้ออกเน็ตที่เส้น pppoe-out1

ตัวอย่าง ผลลัพธ์

เพิ่มเติม (วีดีโอ) สอนการคอนฟิกตาม LAB นี้ครับ

อำนวย ปิ่นทอง
บริษัท โอติก เน็ตเวิร์ค จำกัด

3 comments

  1. /ip firewall mangle
    add action=accept chain=prerouting dst-address-list=NETWORK src-address-list=\
    NETWORK
    address list เราตั้งชื่อไม่เหมือนกันได้มั้ยคับ เช่น lan1,lan2 ถ้าได้เราจะใส่ยังงัยคับ แล้วทำไมถึงใส่ทั้ง
    dst-address-list กับ src-address-list อันนี้ยังงงคับ แล้วถ้าไม่มีชุดนี้ add action=accept chain=prerouting dst-address-list=NETWORK src-address-list=\
    NETWORK มันจะทำงานได้มั้ยคับ มือใหม่หัด route คับ

    1. ต่าง Address list สามารถทำได้ครับ จุดประสงค์ของคำสั่งนี้คือ เราต้องการให้ ถ้าเป็นเน็ตเวิร์คภายในกันเอง ไม่ต้องทำการแยกเร้าท์ ปัญหานี้จะเจอเมื่อคุณมี 2 wan จริงๆ (ไม่ได้เกิดจากการจำลอง) คือมีสองผู้ให้บริการ เช่น 3bb และ true อะไรประมาณนี้ แต่ละเน็ตเวิร์คจะไม่สามารถคุยกันได้ เรียกได้ว่า ping หากันก็ไม่เจอ ถ้าไม่ทำคำสั่งนี้

      คำสั่งนี้ ทำหน้าที่ตรวจสอบว่า ถ้าเน็ตเวิร์ควงนี้ และวิ่งไปวงนี้ ไม่ต้องแยกเร้าท์ ให้ยอมรับไปเลย (Accept) ผมจึงใส่เป็น Address list เพราะบางครั้งในเน็ตเวิร์คเรามีหลายๆ วง จะได้สะดวก

  2. ถ้าไม่ต้องการให้ network 2 วงนี้ routing กันเจอ ก็ไม่ต้องใส่ชุดนี้ลงไปใช่มัยคับ
    ip firewall mangle
    add action=accept chain=prerouting dst-address-list=NETWORK src-address-list=\
    NETWORKip firewall mangle
    add action=accept chain=prerouting dst-address-list=NETWORK src-address-list=\
    NETWORK
    เพราะอยากให้แยกกันอยู่แล้วคับ แค่ต้องการให้สลับกันใช้งานเน็ตเมื่อเน็ตเส้นใดเส้นหนึ่งไม่ทำงาน
    ขอบคุณคับ..

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *