0x00 實際環境
網絡拓撲如圖所示
現在 Mikrotik RouterOS 下有兩個不同的客戶網絡,分別是 LAN_1(10.1.1.0/24,允許訪問公網)和 PPP_1(172.16.1.0/24,只允許訪問工作網絡) ,而遠端網絡也有兩個,分別是公網(xxx.xxx.xxx.xxx)和工作網絡 (192.168.1.0/24) ,現在要實現的功能就是,讓 PPP_1 的流量全部走工作網絡,不走公網。
0x01 設置路由標記
為了讓 PPP_1 的流量走指定的線路,按照路由和交換的設計,我們要對網絡路由表進行修改,為不同網段指定不同網關。所以,首先我們要給 PPP_1 地址池做一個路由標記,並且一定要將其設置為 Enable 。
IP > Firewall > Mangle > Add 添加一個 Chain = prerouting,Src.Address = 172.16.1.0/24,action = mark routint,New Routing Mark = Working_Network,Disable = No 的路由標記。
此路由標記的作用就是給匹配規則的流量打上標記,跟普通三層交換裡面的 ACL 的 if-match 其實是一樣的。
0x02 設置路由表
在路由表中增加一條指向 0.0.0.0/0 也就是全局的路由信息,其網關為 20.20.0.253 即辦公網絡 VPN 網關,並將匹配了 Working_Network 標記的流量都指向這條路由信息。
IP > Routes 添加一條 Dst.Address = 0.0.0.0/0,Gateway = 20.20.0.253,Routing Mark = Working_Network,Disable = No 的路由信息。
此路由表的作用就是給匹配了指定路由信息的網段指定網關,即可實現流量分流,跟三層交換裡面的 traffic policy 和 classifier XXX behavior XXX 其實是一樣的
0x03 總結
多線分流只有兩條規則,為需要分流的不同網段增加不同的路由標記,然後給不同的標記指定不同的網關即可。
閱讀更多 蜻蜓微微點水 的文章
