آموزش

آموزش مدیریت چند اینترنت با Policy-Based Routing در MikroTik + راهنمای عملی

پیاده‌سازی مدیریت چند WAN با Policy-Based Routing در MikroTik

Policy-Based Routing در MikroTik

مقدمه

اگر صاحب یک شبکه هستید که به چند اتصال اینترنت (WAN) متکی است،

حتماً با چالش‌های مدیریت پهنای باند، توازن بار (Load Balancing) و حفظ پایداری شبکه مواجه شده‌اید.

یکی از راهکارهای پیشرفته برای کنترل دقیق مسیرهای ترافیک، استفاده از «Policy-Based Routing» در MikroTik است.

این روش برخلاف روتینگ معمولی، به شما اجازه می‌دهد که بر اساس فاکتورهایی مانند IP مبدا، گروه کاربران، یا حتی نوع سرویس، مشخص کنید که ترافیک از کدام لینک WAN عبور کند.

در این مقاله، قدم‌به‌قدم نحوه پیاده‌سازی مدیریت چند اینترنت با PBR را در میکروتیک بررسی می‌کنیم.

تمام آموزش‌ها عملی هستند و با یک سناریوی واقعی سازمانی همراه‌اند.

اگر مدیر شبکه، مدرس، یا علاقه‌مند به ساختارهای پیشرفته MikroTik هستید، این آموزش برای شماست.

Policy-Based Routing در MikroTik

Policy-Based Routing چیست؟

Policy-Based Routing یا همان مسیردهی مبتنی بر سیاست، راهکاری است که به ما اجازه می‌دهد تصمیم‌گیری درباره مسیر ترافیک را بر اساس قوانین دلخواه انجام دهیم، نه صرفاً مقصد IP.

برای مثال، می‌توان تعیین کرد که تمام ترافیک کاربران حسابداری از طریق اینترنت دوم عبور کند، در حالی که بقیه کاربران از اینترنت اول استفاده می‌کنند.

این قابلیت در شبکه‌هایی با نیازهای خاص، مانند تفکیک هزینه اینترنت، افزایش امنیت، یا مدیریت ترافیک حرفه‌ای بسیار کارآمد است.

در MikroTik، پیاده‌سازی این روش از طریق ترکیب Routing Tables، Mangle Rules و NAT انجام می‌شود.

مزایای استفاده از PBR در میکروتیک

  • هدایت هدفمند ترافیک بر اساس سیاست‌های سازمان
  • تفکیک کاربران VIP یا گروه‌های خاص به مسیر جداگانه
  • پیاده‌سازی سناریوهای امنیتی و QoS دقیق
  • قابلیت ترکیب با Load Balancing و Failover برای انعطاف بیشتر

Policy-Based Routing در MikroTik

Policy-Based Routing در MikroTik

معرفی سناریو: تفکیک دسترسی کاربران حسابداری از سایر کاربران

فرض کنیم در سازمان شما دو لینک اینترنت با مشخصات زیر دارید:

  • WAN1: اتصال اینترنت از ISP اول (برای کاربران عمومی)
  • WAN2: اتصال اینترنت از ISP دوم (مخصوص کاربران مالی)

ساختار آدرس‌دهی شبکه به صورت زیر تعریف می‌شود:

  • LAN عمومی: 192.168.100.0/26
  • LAN حسابداری: 192.168.100.64/26
  • WAN1: 10.10.10.2/24 (Gateway: 10.10.10.1)
  • WAN2: 20.20.20.2/24 (Gateway: 20.20.20.1)

هدف این است که کاربران حسابداری همیشه از طریق اینترنت دوم (WAN2) به اینترنت متصل شوند و سایر کاربران از اینترنت اول استفاده کنند.

Policy-Based Routing در MikroTik

گام اول: تنظیم آدرس‌های IP روی اینترفیس‌ها

برای شروع باید آدرس‌دهی مناسب را روی پورت‌های مختلف روتر انجام دهید. دستورهای زیر را در ترمینال MikroTik وارد کنید:

/ip address
add address=192.168.100.1/24 interface=bridge
add address=10.10.10.2/24 interface=ether1
add address=20.20.20.2/24 interface=ether2

bridge در اینجا شامل تمام پورت‌های داخلی شماست. ether1 به WAN1 و ether2 به WAN2 متصل هستند.

Policy-Based Routing در MikroTik

گام دوم: ساخت Routing Table جدید برای WAN2

از نسخه 7 RouterOS به بعد، قابلیت ساخت Routing Tableهای سفارشی وجود دارد. ما یک جدول با نام to_wan2 تعریف می‌کنیم:

/routing table
add name=to_wan2 fib

FIB مخفف Forwarding Information Base است و برای اعمال در جدول مسیر فعال می‌شود.

Policy-Based Routing در MikroTik

گام سوم: تعریف مسیر پیش‌فرض برای هر WAN

حالا باید مسیر اینترنتی مربوط به هر جدول را مشخص کنیم. برای جدول اصلی و جدول سفارشی:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-table=main
add dst-address=0.0.0.0/0 gateway=20.20.20.1 routing-table=to_wan2

به این ترتیب مسیر پیش‌فرض کاربران معمولی روی main و کاربران مالی روی to_wan2 قرار می‌گیرد.

Policy-Based Routing در MikroTik

گام چهارم: Mark Routing در Firewall

حالا زمان آن رسیده که در فایروال مشخص کنیم کدام ترافیک باید از Routing Table خاص استفاده کند. برای کاربران حسابداری از IP رنج 192.168.100.64/26 استفاده می‌کنیم:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.64/26 action=mark-routing new-routing-mark=to_wan2 passthrough=yes

دقت کنید که chain باید prerouting باشد و گزینه passthrough روی yes باقی بماند تا بقیه Ruleها نیز بررسی شوند.

Policy-Based Routing در MikroTik

گام پنجم: اعمال NAT برای هر مسیر خروجی

هر WAN باید دارای یک Rule NAT مستقل باشد. برای جلوگیری از مشکلات مربوط به ترجمه آدرس (SNAT)، این مرحله حیاتی است:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 src-address=192.168.100.64/26 action=masquerade

در اینجا مشخص کرده‌ایم که فقط کاربران مالی از طریق ether2 باید NAT شوند.

Policy-Based Routing در MikroTik

گام ششم: تست و عیب‌یابی

برای اطمینان از عملکرد صحیح PBR، می‌توانید از ابزارهای زیر در MikroTik استفاده کنید:

  • Torch: بررسی اینترفیس خروجی برای IPهای حسابداری
  • Traceroute: بررسی مسیر ترافیک با مشخص کردن جدول Routing
  • Ping با routing-table:
/ping 8.8.8.8 routing-table=to_wan2

همچنین از بخش Log و Tools > Netwatch می‌توانید وضعیت لینک‌ها را مانیتور کنید.

.

بهینه‌سازی پیشرفته

برای مدیریت حرفه‌ای‌تر می‌توانید موارد زیر را نیز پیاده‌سازی کنید:

  • اضافه‌کردن Failover با Script یا Netwatch برای زمانی که WAN2 قطع شود
  • تعریف مسیرهای تخصصی برای سایت‌های مالی که فقط از WAN2 عبور کنند
  • استفاده از Layer7 برای هدایت سرویس‌ها (مثلاً فقط ترافیک بانک‌ها روی WAN2)

.

اشتباهات رایج در پیاده‌سازی PBR

  • فراموش‌کردن NAT برای مسیرهای سفارشی
  • تعریف Routing Table بدون ثبت در Firewall Mangle
  • اشتباه در ترتیب Ruleهای Firewall
  • تداخل بین Routing Tableها در شبکه‌های بزرگ

Policy-Based Routing در MikroTik

نتیجه‌گیری

با استفاده از Policy-Based Routing در MikroTik، شما کنترل کاملی روی مسیر ترافیک شبکه خواهید داشت.

این روش نه‌تنها امکان تفکیک سرویس یا کاربران را فراهم می‌کند، بلکه در پروژه‌هایی با ساختار پیچیده می‌تواند به کاهش هزینه، افزایش امنیت، و بهبود کیفیت خدمات کمک کند.

پیاده‌سازی درست این ساختار نیاز به دقت بالا دارد، اما وقتی به‌درستی انجام شود، یکی از قدرتمندترین ابزارهای شما در مدیریت شبکه خواهد بود.

Policy-Based Routing در MikroTik

سوالات متداول (FAQ)

آیا Policy-Based Routing فقط در نسخه ۷ RouterOS کار می‌کند؟
بله، قابلیت استفاده از جدول‌های سفارشی و FIB فقط از نسخه ۷ به بعد در MikroTik فعال شده است.

چگونه مطمئن شوم که کاربران از مسیر صحیح عبور می‌کنند؟
می‌توانید از ابزار Torch، Ping و Traceroute با مشخص کردن Routing Table برای تست مسیر ترافیک استفاده کنید.

آیا می‌توان از PBR برای Split Tunneling در VPN استفاده کرد؟
بله، حتی می‌توانید فقط برخی آدرس‌ها را از طریق تونل VPN عبور دهید و بقیه را مستقیم به اینترنت بفرستید.

آیا PBR با Load Balancing تداخل دارد؟
در صورتی که ساختار درست تعریف شود، می‌توان PBR را در کنار روش‌هایی مانند ECMP یا PCC استفاده کرد، البته باید به ترتیب Ruleها در Firewall توجه داشته باشید.

در صورت قطع شدن یکی از اینترنت‌ها، چه راهی برای Failover وجود دارد؟
می‌توانید از ابزار Netwatch یا Script استفاده کنید تا در صورت قطع یکی از لینک‌ها، مسیر ترافیک به صورت خودکار به لینک دیگر تغییر یابد.

جهت مطالعه آموزش های مشابه اینجا کلیک کنید.

5/5 - (1 امتیاز)
ادیب نکویی

دیدگاهتان را بنویسید