routeros做pcc及nth感覺都跑單一條pppoe

jeremy9678
個人積分：67分
文章編號：54761650

67分

樓主

2015-03-07 23:53

大家好
上來請大家幫忙我看一下,我用兩路300m做負載平衡,不管是做pcc或nth
我總覺得都只有跑一路沒有平分出流量,原先是pcc今天把pcc改掉換nth也是一樣
不知哪錯了,還是因流量太小看不太出來呢??

從pppoe看出流量差很多,我是砍BT下去看的

routeros做pcc及nth感覺都跑單一條pppoe

nat設定的部份

標記的部份設定

第一路pppoe

第二路pppoe

路由部份的設定

請有經驗的大大骯忙一下看那邊出問題不然流量都跑單一pppoe而以,謝謝!!標記名有pcc是之前做pcc去改成nth的
所以名稱就先不改囉~

2015-03-07 23:53 發佈

文章關鍵字 RouterOS PCC 感覺 nth pppoe

gfx

gfx
個人積分：1603分
文章編號：54762604

1603分

2樓

2015-03-08 1:32

jeremy9678 wrote:
大家好
上來請大家幫...(恕刪)

畫紅線的刪除不要

/ip route

/ip firewall nat

/ip firewall mangle
全部關閉砍掉重練,請匯入:
https://dl.dropboxusercontent.com/u/34743921/pcc%26nth.txt
最後4個Rules分別是一對PCC ,與一對NTH ,端看您個人決擇.

注意:
匯入的項目中,首2項尤其重要,代表近端網路不受PCC或NTH影響.
假如關閉了,所有的近端封包都會誤送公用網路.
代價是無法使用區域網路,也無法再設定您的Router ,得重置分享器才行.

jayheartnet

jayheartnet
個人積分：25分
文章編號：54764187

25分

3樓

2015-03-08 9:31

jeremy9678 wrote:
大家好上來請大家幫...(恕刪)

我之前也有一樣的問題，想說怎麼都沒人問，後來才發覺，網路上很多設定都是屬於理論派的，沒人真的去驗證，所以就訛以傳訛，又或許只是版本問題，起碼我從5.x就發現這問題了，到現在6.27還是一樣

其實很多設定都對，只差臨門一腳而已

在官網的Routing Table Matcher有講，預設是用"main"的table，就是沒有任何標記的，搞定確定沒問題之後，我就在想，要是Route也有計數器就好了

jeremy9678

jeremy9678
個人積分：67分
文章編號：54767829

67分

樓主

2015-03-08 15:25

jayheartnet wrote:
我之前也有一樣的問...(恕刪)

jayheartnet 大謝謝你的幫忙,但有點不太了解你的意思
你的意思是對應的路由表是不正確的意思嗎?

我後來加入這樣一樣砍BT測試好像也是跑單路,難不成選錯介面嗎??

jeremy9678

jeremy9678
個人積分：67分
文章編號：54768627

67分

樓主

2015-03-08 16:43

gfx wrote:
畫紅線的刪除不要/ip...(恕刪)

先謝謝gfx大的指導,按照gfx大的教導做了一下下列調整

路由和nat都砍除了.原本留192.168.88.1那是萬一設錯可用那ip進去routeros修改
不至於又要整機重置

標記的部份匯入

測試連外網ping還是不通也不能看網頁

只好先加回nat部份,不加nat是不會通的

在用Bt下去下載似乎效果也是單線,但是變出一條進另一條,還是本來就是這樣我太敏感囉!!

想請教gfx大大幾個問題?
1.可否說明一下你標記這部份做法為何?看起來跟我之前很像但又有不同之處
2.如果不指定src address那是不是首二條是不需要呢?
3.那腳本指令檔是用system export config 出來然後在複制出來嗎?還是要這麼弄呢?
4.目前到現在pcc及nth概念還是很模糊所以一直不知那邊概念設定錯了?
謝謝gfx大的細心解說,routeros真的還滿難稿,另外我snmp也讓我一頭霧水稿不定
這個東西沒去上一下課還真的不行,因網路資料大家做法都不太一樣!

routeros設備能做到很細變成很多都是存手工增加了難度

jayheartnet

jayheartnet
個人積分：25分
文章編號：54768829

25分

6樓

2015-03-08 16:59

jeremy9678 wrote:
jayheartnet...(恕刪)

呵呵，抱歉，我跳太多了，不過你遲早也要加Route Rule

我覺得你的問題可能是在mark connection的時候出了問題，你忘記只要標記"未標記"的連線，所以要在Connection Mark指定no-mark

jeremy9678

jeremy9678
個人積分：67分
文章編號：54768909

67分

樓主

2015-03-08 17:08

jayheartnet wrote:
呵呵，抱歉，我跳太...(恕刪)

請教一下,那我上圖加入的route rule是對的嗎??

還有我不太明白你說的:只要標記"未標記"的連線,這句話不太明白?

gfx

gfx
個人積分：1603分
文章編號：54769545

1603分

8樓

2015-03-08 18:11

jeremy9678 wrote:
路由和nat都砍除了.原本留192.168.88.1那是萬一設錯可用那ip進去routeros修改

那應該沒有用...

測試連外網ping還是不通也不能看網頁
只好先加回nat部份,不加nat是不會通的

小弟沒嘱咐您刪除兩行NAT設定,
只是要您移除內容scr-address=192.168.2.0/24罷了.

在用Bt下去下載似乎效果也是單線,但是變出一條進另一條,還是本來就是這樣我太敏感囉!!

您目前先使用PCC,
PCC的作用是有時某一路,有時換另一路,完全由亂數決定;

或者您關掉PCC,改使用NTH. 唯有NTH才是各1/2去分配連線.

注意負載平衡只負責分配連線給各路,
連線能否建立或者是各路流量大小不是PCC/NTH所掌控的.

如果不指定src address那是不是首二條是不需要呢?

所有的路由設定皆需宣告來源(src)或目的(dst) ,
或者用in-interface(進入接口) 或out-interface(出去接口)來宣告路徑的方向.

如果不指定src-address(來源地址),那您得宣告dst-address(目的地址)是什麼位置.

1.可否說明一下你標記這部份做法為何?看起來跟我之前很像但又有不同之處

1.
小弟以多WAN為考量,讓外網可透過兩個不同的PPPoE入口,同時對Router或Server進行連線;

而您未做PPPoE入口進入的連線標記,與PPPoE出口方向的引導,
所以公用網路連線只能從預設路由的PPPoE進入,只能靠單路連接Router或Server.

2.
您來源(src)與目的(dst)弄混了.
您弄成外網進入您的Router或Server時做NTH ,非是本地連接外Server時做NTH.

更合況您舊設定只有一個PPPoE能當入口,難怪另一個會沒流量.

3.那腳本指令檔是用system export config 出來然後在複製出來嗎?還是要這麼弄呢?

在終端機視窗下命令:
/ip firewall nat export即匯出/ip firewall nat的所有設定.
/interface export即匯出/interface的所有內容.
/ export 即匯出Router主機的所有設定.

怎麼測試PCC /NTH有無正常運作?
用瀏覽器瀏覽http://myip.com.tw並不斷的按F5重整網頁,
若電腦的Policy-Address並不是固定的,代表PCC /NTH有正常運作;
假如都固定不變,即是設定沒有做好.

jayheartnet

jayheartnet
個人積分：25分
文章編號：54769757

25分

9樓

2015-03-08 18:35

jeremy9678 wrote:
請教一下,那我上圖...(恕刪)

嗯，Route rule是對的

我來講解一下我的負載平衡的作法，首先先標記"未標記"的連線(mark connection)，這樣才不會被第二個mark connection覆蓋原有的標記

接著再標記該連線下的所有封包(mark routing)

以下是我的生產環境的mangle rules

/ip firewall mangle
add action=mark-connection chain=prerouting comment="Mark Incoming Connections" connection-mark=no-mark in-interface=ether1 new-connection-mark=WAN1_conn
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether2 new-connection-mark=WAN2_conn
add action=mark-connection chain=prerouting comment="Actual Load Balancing" connection-mark=no-mark dst-address-type=!local in-interface=all-ppp new-connection-mark=WAN1_conn per-connection-classifier=src-address:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=all-ppp new-connection-mark=WAN2_conn per-connection-classifier=src-address:2/1
add action=mark-routing chain=prerouting comment="Mark Routing Marks for connections" connection-mark=WAN1_conn in-interface=all-ppp new-routing-mark=to_WAN1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=WAN2_conn in-interface=all-ppp new-routing-mark=to_WAN2 passthrough=no
add action=mark-routing chain=output connection-mark=WAN1_conn new-routing-mark=to_WAN1 passthrough=no
add action=mark-routing chain=output connection-mark=WAN2_conn new-routing-mark=to_WAN2 passthrough=no
</blockqoute>

jeremy9678

jeremy9678
個人積分：67分
文章編號：54774350

67分

樓主

2015-03-09 0:02

gfx大~

gfx
路由和nat都砍除了.原本留192.168.88.1那是萬一設錯可用那ip進去routeros修改

那應該沒有用.

1.我是預留實體port介面上面設上192.168.88.1的ip當設定錯了就可把電腦網線
把改插這實體port位置連進去改,我是知道如果是防火牆政策有些會失效

gfx
小弟沒嘱咐您刪除兩行NAT設定,
只是要您移除內容scr-address=192.168.2.0/24罷了

2.我還以為你劃線是整個砍掉,不過src address拿掉不就代表所有的位置都做
nat嗎?是不是外網的ip src address也是被nat呢?

另外如果這樣我第二條vpn用的192.168.2.0也可以拿掉不是嗎??
因第一條都包含所有src address及dst address囉!

3.按照gfx大的標記解說清楚些這些Policy Routing用途為何了,有一些小地方
不太懂,就是第一條是src address及dst address都是192.168.1.0網段做允許
那第二條為何是把192.168.1.0網段改放src address list位置不太清楚用意??
另外下方這個為何不能結合在第一條呢??

另外我之前做的pcc及nth看很多文章都這麼做,最少google文章都是這教很多,只是
它們都沒有明訂src address及沒用這麼多的make routeing而以,其它似乎都差不多
還有它們下圖是選跟你不太一樣,所以真的做法大家都不太一樣,官方好像也是我那種做法
只是滿怪只有跑一路,會不會routeros版本問題??不過gfx大的詳細多了

也是大家作法略有大不同讓我一頭霧水重點在那邊!!

gfx
怎麼測試PCC /NTH有無正常運作?
用瀏覽器瀏覽http://myip.com.tw並不斷的按F5重整網頁,
若電腦的Policy-Address並不是固定的,代表PCC /NTH有正常運作;
假如都固定不變,即是設定沒有做好

4.gfx大我有到那網站做一下測試發現不知是瀏覽器cache問題嗎?重新整理網頁
十次有八到九次同一ip只有一兩次另一個ip,另外如果看下列這個準嗎?
不過還是其一連線數居多

5.gfx大你對routeros 的snmp熟嗎?可以幫我這一個文章問題嗎??
http://www.mobile01.com/topicdetail.php?f=507&t=4294743&p=1#54734470