بیشتر کابران میکروتیک علاقمند هستند که تصاویر دوربین های مدار بسته خود را از راه دور و از طریق اینترنت دیده و بتوانند از شماره داخلی خود، در زمانی که خارج از محل کار هستند استفاده کنند.

 این مقاله به 2 بخش تقسیم شده است:

– انتقال صدا و تصویر بر روی IP آدرس استاتیک

– انتقال صدا و تصویر بر روی IP آدرس داینامیک

سناریو زیر را تصور کنید:

انتقال صدا و تصویر بر روی آی پی ادرس استاتیک

برای انتقال صدا و تصویر شما نیاز به یک IP Static در محل نصب DVR(یا NVR) وIP PBX خود خواهید داشت تا از طریق این آدرس بتوانید به دستگاه خود در محیط اینترنت اتصال پیدا کنید.

در صورت داشتن IP استاتیک و نوشتن رول DSTNAT شما میتوانید به سادگی این ادرس IP را وارد کرده و به دستگاه خود وصل شوید.

اما DSTNAT چیست و چه کاربردی دارد؟

این نوع NAT را زمانی انجام می دهیم که بخواهیم یک شبکه Private را برای یک شبکه Public قابل دسترس قرار دهیم. در این عمل IP Public خود را به IP Private ترجمه می کنیم. در واقع DSTNAT آدرس یا پورت مقصد را به آدرس یا پورت مورد نظر ما تغییر می دهد. پس زمانی که بخواهیم سرویس مورد نظری در شبکه داخلی خود را برای شبکه بیرون مثل اینترنت در دسترس قرار دهیم، باید از DSTNAT استفاده کنیم.

به مسیر IP -> Firewall -> NAT رفته و اقدام به افزودن یک رول جدید نمایید.

پنل DVR ما روی آدرس 192.168.255.100 و پورت 8080 بالا می آید. قصد داریم هر کسی که به آدرس آی پی استاتیک 188.34.237.24 و پورت 81 آن رجوع کرد، بتواند پنل DVR ما را مشاهده نماید. پس مطابق زیر عمل می کنیم.

سپس اقدام به افزودن یک رول جدید می کنیم تا کاربران بیرون از سازمان با استفاده از پروتکل IAX2 بتوانند روی PBX ما رجیستر شده وتماس بگیرند. ( به صورت پیش فرض IAX2 از UDP 4569 استفاده می کند ) پس مطابق زیر عمل می کنیم.

می توانید با دانستن IP Static از بیرون سازمان Extension خود را رجیستر کرده و به تصاویر دوربین های مداربسته دسترسی داشته باشید.

اما سوال اینجاست که در صورت داشتن IP آدرس داینامیک چطور می توان دستگاه را پیدا کرد.

انتقال صدا و تصویر بر روی آی پی داینامیک

در صورتی که شما IP داینامیک داشته باشید مسائل به مراتب پیچیده تر خواهد بود چون شما نمی دانید چه زمانی آدرس IP شما تغییر خواهد کرد. بهترین روش برای دنبال کردن این تغییرات در ادرس IP ساختن یک سرویس داینامیک DNS یاDDNS است.

میکروتیک سرویس DDNS خود را با نام MikroTik Cloud معرفی کرد. این سرویس از نسخه 6.14 به بعد و فقط برای روتربور ها در دسترس است. رکورد DNS مربوط به دستگاه شما با استفاده از سریال دستگاه تولید و به آدرس آی پی عمومی شما اشاره می کند. یا به عبارت بهتر رکورد DNS به ازای هر روتر تولید می شود و همیشه ان اسم ثابت خواهد ماند و فقط آدرس IP آن تغییر خواهد کرد.

برای فعال سازی این سرویس به مسیر IP -> Cloud رفته و مطابق شکل زیر عمل کنید.

از این پس می توانیم با وارد کردن این DNS Name به روتر خود دسترسی داشته باشیم.

سپس به مسیر IP -> Firewall -> NAT رفته و رول های زیر را اضافه می کنیم. 

حال میتوانید با دانستن DNS Name از بیرون سازمان Extension خود را رجیستر کرده و به تصاویر دوربین های مداربسته دسترسی داشته باشید.

 یکی از مشکلات مدیران شبکه مباحث مربوط به DNS  ، اعم از وارد کردن DNS  سرور اشتباه یا تغییر تنظیمات توسط کاربران است از این رو در این مقاله به شما آموزش می دهیم که درخواست های کاربران را بدون توجه به  تنظیمات DNS  آنها،  به DNS روتر میکروتیک رسال کنید.

1-    در مرحله اول برای 2 پروتکل tcp  و udp  یک dstnat  می نویسیم.

همانطور که می دانید درخواستهای dns  روی پورت 53 کار می کند با نوشتن این Dsnat  کلیه درخواست های dns، به پورت 53 میکروتیک ارسال می شود (Redirect) .

2-    در مرحله بعد باید تنظیمات مربوط به مدیریت درخواست های dns میکروتیک را انجام دهیم.

در قسمت مشخص شده باید IP یک DNS سرور معتبر در شبکه را معرفی کنیم

مرحله 4:

آخرین مرحله نیز مربوط به ساخت کانکشن مورد نظر روی کلاینت ریموت (remote pc) و تست اتصال است جهت ساختن کانکشن pptp روی ریموت پی سی در ویندوز سون می توانید به شرح زیر عمل کنید:

پس از انتخاب گزینه VPN Connection، نوع وی پی ان را گزینه اول (Use my Internet Connection) انتخاب می کنیم .

در این بخش، آی پی پابلیک مقصد را در فیلد Internet address وارد می کنیم و یک نام فرضی برای توضیحات وارد می کنیم. (دقت کنید در صورت تغییر آی پی پابلیک، باید اطلاعات vpn client ساخته شده نیز بروز رسانی گردد.)

سپس اطلاعات اکانت ساخته شده در بخش Secret را وارد می کنیم.

کار تقریبا به پایان رسید. تنها لازم است تنظیمات پروتکل احراز هویت را روی کانکشن بررسی نماییم:

نوع کانکشن وی پی ان در این قسمت، PPTP، و پروتکل های احراز هویت بر اساس پروتکل های فعال شده روی سرویس میکروتیک، MS CHAP و MS CHAP v2 انتخاب شده است. با اتصال زدن دکمه Connect کانکشن ساخته شده به وی پی ان سرور متصل می شویم. اما ممکن است هنوز در دسترسی به سیستم های داخل شبکه مشکل وجود داشته باشد. در این صورت ، گزینه proxy-arp را برای فیلد arp روی هر دو اینترفیس To-Lan و To-Wan میکروتیک به شرح زیر فعال نمایید.

میکروتیک، وسیله ایست که بسیاری از نیازهای یک شبکه را برآورده می کند. دسترسی به شبکه از راه دور یکی از این قابلیت ها ست که که با کمک VPN در میکروتیک قابل پیاده سازی است. VPN یا شبکه اختصاصی مجازی، شرایطی را ایجاد می کند که در هر نقطه از جهان می توان تنها با داشتن دسترسی به اینترنت به شبکه داخلی (LAN) متصل شد.

اگرچه پروتکل های مختلفی را می توان به منظور اتصال به شبکه روی VPN پیاده سازی کرد، اما PPTP یکی از سازگارترین و کم دردسر ترین آنهاست که دامنه کاربرد آن به واسطه تطابق با سخت افزارهای گوناگون و سهولت اتصال کلاینت ها بسیار بالاست. PPTP همچنین روی میکروتیک قابلیت استفاده از MPPE مایکروسافت را داراست که کانکشن را بصورت End to End با 128 یا 56 کیلو بیت رمزنگاری می کند. اما سوال مهم چگونگی راه اندازی این قابلیت با حداقل امکانات و بدون استفاده از IP جداگانه است.

شمای طرح:

همانطور که مشخص است اتصال با اینترنت از طریق یک مودم ADSL با اینترنت برقرار است. آی پی های لوکال و پابلیک مودم نیز به شرح زیر موجود است (آی پی پابلیک، از سایت هایی نظیر showip.net و آی پی لوکال، از طریق صفحه تنظیمات مودم قابل شناسایی است):

Modem Local IP: 192.168.0.1

Modem Public IP: 178.63.24.34

همچنین یک دستگاه سوییچ وظیفه اتصال سیستم های موجود را در داخل شبکه به عهده دارد. و میکروتیک نیز رابط بین سوییچ شبکه و مودم است که به منظور ایجاد قابلیت وی پی ان و دسترسی از راه دور اضافه شده است. رنج شبکه پی سی های داخل شبکه نیز 192.168.1.0/24 است. می خواهیم با کمک میکروتیک دسترسی مستقیم Remote pc را به سیستم های شبکه داخلی تنها با استفاده یک دسترسی اینترنت اجرا نماییم.

مرحله 1:

ابتدا باید به میکروتیک متصل شده و آی پی ها را تنظیم نماییم. دقت کنید که وجود حداقل دو اینترفیس، یکی برای LAN و یکی برای WAN ضروری است. در این مرحله برای IP ها اطلاعات زیر را در نظر می گیریم:

To-LAN: 192.168.1.254/24

To-WAN: 192.168.0.254/24

در ادامه از صحت دسترسی میکروتیک و کلاینت ها به اینترنت مطمئن می شویم. وضعیت Route و NAT به شرح زیر تنظیم شده است:

[admin@MikroTik] > ip route print

Flags: X – disabled, A – active, D – dynamic,

C – connect, S – static, r – rip, b – bgp, o – ospf, m – mme,

B – blackhole, U – unreachable, P – prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 192.168.0.1 1

1 ADC 192.168.0.0/24 192.168.0.254 To-Wan 0

2 ADC 192.168.1.0/24 192.168.1.254 To-Lan 0

[admin@MikroTik] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=srcnat action=masquerade

مرحله 2:

در این مرحله ابتدا یک Pool برای IP ها می سازیم. جهت این کار از طریق منوی IP، آیتم Pool را انتخاب می نماییم. رنج 172.16.10.10 تا 172.16.10.20 در حال حاضر به شرح زیر برای تخصیص به کلاینت های ریموت شونده ایجاد شده /است.

سپس روی منوی PPP کلیک و اینترفیس وی پی ان سرور مربوطه را ابا کلیک روی علامت “به اضافه” ایجاد می نماییم. در میکروتیک انواع مختلفی از اینترفیس های وی پی ان وجود دارد. در اینجا PPTP Server binding را به شرح زیر انتخاب می کنیم و نام پیش فرضpptp-in1 را قبول می کنیم.

سپس روی دکمه PPTP Server کلیک، تیک Enable را فعال و پروتکل های مورد نظر را نیز به شرح زیر تنظیم می کنیم. در این سناریو پروفایل پیش فرض Default-Encryption بوده و پروتکل های احراز هویت PAP و CHAP به جهت ارتقای امنیت استفاده نشده است.

در تب پروفایل، روی Default-Encryption کلیک کرده و اطلاعات را مشابه زیر در General تنظیم می کنیم (سایر قسمتها بدون تغییر):

دقت کنید که آی پی پابلیک برای Source و Pool vpn که قبلا ساخته شده برای تخصیص IP به کلاینت های ریموت در نظر گرفته شده. حالا برای تکمیل این بخش تنها یک Secret لازم است. Secret دربردارنده همان اطلاعات اکانت کاربری است که بصورت ریموت متصل میشود. به شرح زیر این Secret را نیز ایجاد می کنیم:

در این سناریو، نام کاربری test با پسورد 123456 انتخاب شده است. همچنین گزینه Any برای فیلد Service این قابلیت را برای کاربر ایجاد می کند که در صورت وجود اینترفیس های دیگر برای وی پی ان بجز pptp، از همین اطلاعات کاربری برای اتصال روی پروتکل های دیگر نیز استفاده نماید. در اینجا با توجه به اینکه فقط یک اینترفیس موجود است مقدار service روی any ست شده است.

مرحله 3:

اگرچه بخش زیادی از راه تکمیل شده اما دو مرحله مهم دیگر باقی مانده است. برای اتصال به وی پی ان pptp باید پورت TCP 1723 روی مودم باز و به سمت میکروتیک فوروارد شود. PPTP همچنین نیازمند IP Protocol 47 یا GRE است. قابلیت vpn pass through و port forward روی بسیاری از مودم ها در حال حاضر پشتیبانی میشود. Port forward معمولا در قسمت NAT، با اسامی نظیر Virtual Server یا Port forward روی صفحه مربوط به تنظیمات مودم قابل بازیابی است.


در این سناریو ما می خواهیم 2 خط اینترنت خود را که از 2 ISP مجزا گرفته ایم در اختیار کاربران شبکه قرار دهیم.


ISP 1 = Sabanet
ISP 2 = Shatel

مزیت استفاه از Load Balance

1- استفاده از پهنای باند هر دو خط برای نمونه اگر ما یک سرویس 8 مگابایت و یک سرویس 12 مگابایت واقعی داشته باشیم با استفاده از این روش ما می توانیم 20 مگابایت اینترنت در اختیار کاربران قرار دهیم.

2- قابلیت بعدی امکان FailOver است که این امکان را در اختیار ما قرار می دهد که اگر یکی از سرویس ها قطع شود خود کارروتر بر روی خط بعدی سوئیچ می کند.

راه اندازی Load Balance

ما در این سناریو به دلیل مراحل زیاد و پیچیده از دستورات ترمیتال میکروتیک استفاده کرده ایم ما به شما پیشنهاد می کنیم که این کار را انجام دهید.


نوشتن nat

در این مرحله برای هر یک از سرویس های خود یک Nat با اکشن masquerade می نویسیم.


ip firewall nat/
add action=masquerade chain=srcnat out-interface=Shatel
add action=masquerade chain=srcnat out-interface=SabaNet

نشانه گذاری پکت ها و توزیع پکت های ورودی و خروجی

این بخش مهمترین بخش راه اندازی مبحث Load Balance است در این مرحله تمام پکت ها نشانه گذاری می شود و مشخص می شود از کدام سرویس خارج یا وارد شوند.


Ip – firwall – mangle


add action=mark-connection chain=input in-interface=SabaNet new-connection-mark=SabaNet passthrough=no
add action=mark-connection chain=input in-interface=Shatel new-connection-mark=Shatel passthrough=no
add action=mark-routing chain=output connection-mark=SabaNet new-routing-mark=SabaNet passthrough=no

add action=mark-routing chain=output connection-mark=Shatel new-routing-mark=
Shatel passthrough=no
add action=mark-connection chain=prerouting dst-address-type=!local in-nterface= Ether9 new-connection-mark=SabaNet per-connection-classifier=src-port:2/0
add action=mark-connection chain=prerouting dst-address-type=!local in-nterface= ther9 new-connection-mark= Shatel per-connection-classifier=src-port:2/1


نکته 1 : Ether9 اینترفیس کلاینت های متصل به روتر است.
نکته 2 : per-connection-classifier در قسمت Src- Port عدد اول باید بر اساس فرمول زیر تعریف شود.
بر فرض مثال اگر ما 3 سرویس با سرعت های 512 ، 1024 و 2048 مگابایت داشته باشیم این دسته بندی براساس فرمول زیر انجام می شود.
ابتدا هر یک را بر کمترین سرعت تقسیم میکنیم و مجموع همه این ها میشود عدد اول per-connection-classifier و عدد دوم از صفر شروع می کنیم.

سرویس 1 :


512/512= 1
per-connection-classifier=src-port:7/0


سرویس 2 :


1024/512= 2
per-connection-classifier=src-port:7/1
per-connection-classifier=src-port:7/2


سرویس 3 :


2048/512=4
per-connection-classifier=src-port:7/3
per-connection-classifier=src-port:7/4
per-connection-classifier=src-port:7/5
per-connection-classifier=src-port:7/6


نکته ی مهم : برای هر یک از اینها باید یک prerouting بنویسیم.

add action=mark-routing chain=prerouting connection-mark=SabaNet
in-interface=Erher9 new-routing-mark=SabaNet passthrough=no

=\add action=mark-routing chain=prerouting connection-mark=Shatel in-interface
Ether9 new-routing-mark=Shatel passthrough=no

تعریفIP Route

add check-gateway=ping distance=1 gateway=SabaNet routing-mark=SabaNet
add check-gateway=ping distance=2 gateway=Shatel routing-mark=Shatel


این نکته را نباید فراموش کنید که حتما قابلیت ping بر روی این Route فعال شود با فعال کردن ping روتر در زمانهای مشخص خودش را چک می کند و به محض اینکه ping این ارتباط قطع شود ارتباط به سرویس با Distance بالاتر منتقل می شود برای مثال اگر ارتباط با ISP صبانت قطع شود سریع همه ترافیک از طریق ISP شاتل تامین می شود.

لایسنس ها مجوزهای استفاده از يك نرم افزار يا سخت افزار هستند. لایسنس ها بنا بر مشخصات سخت افزاری روتربردها و یا استفاده از سایر امکانات روتر مانندامکان پشتیبانی از تعداد کلاینت های User Manager و یا کلاینت هایی که از انواع تانلها استفاده می کنند مشخص می گردند. یکی از عمومی ترین سوالات مشتریان نوران، مقوله لایسنس است.

از این رو در این مقاله سعی شده است اطلاعات کاملی در رابطه با لایسنس های میکروتیک و عواملی که باعث از بین رفتن لایسنس می گردد، در اختیار شما قرار داده شود و همچنین مراحل تهیه لایسنس و معرفی آن به میکروتیک را شرح می دهیم.

یکی از دلایل عمده محبوبیت میکروتیک Router OS این شرکت است. این سیستم عامل قابلیت نصب و استفاده بر روی تمام روتربردهای میکروتیک و همچنین بر روی کامپیوترهای با سخت افزار x86 را دارد.

در صورت نیاز به نصب سیستم عامل میکروتیک بر روی کامپیوتر، میتوانید این سیستم عامل را از وب سایت میکروتیک و از دسته بندی x86 دانلود کنید و پس از انتقال روی سی دی ،به راحتی آن را بر روی کامپیوتر نصب نمایید.

License Level:

جهت استفاده از امکانات سیستم عامل میکروتیک، لازم است لایسنس مربوط به همان محصول نیز تهیه شود.

سیستم عامل میکروتیک دارای چند سطح مجوز یا License Level می باشد. هر سطح مجوز ، ویژگی های بیشتری را نسبت به سطوح قبلی خود دارد، ویژگی هایی مانند: امکان مدیریت کاربران بیشتر، تعداد کانکشن ها و… . از جمله مجوزهای قابل ارائه برای میکروتیک، مجوزهای سطح 4 ، 5 ، 6 هستند.

لازم به ذکر است سیستم عامل میکروتیکی که به تازگی نصب شده است دارای لایسنس لول صفر می باشد و فقط به مدت زمان 24 ساعت می توان از امکانات این لایسنس به صورت نامحدود استفاده کرد. البته منظور از بازده زمانی 24 ساعت، مدت زمان روشن بودن دستگاه به مدت 24 ساعت است و اگر زودتر خاموش شده باشد مجددا بعد از روشن شدن روتر ادامه این زمان محاسبه می گردد.

لایسنس لول یک، بدون محدودیت زمانی است و با ساختن یک اکانت در سایت میکروتیک به صورت رایگان در اختیار شما قرار می گیرد البته این سطح دارای محدودیت هایی است که در جدول زیر بیان شده است.

همچنین لایسنس لول 3 فقط روی دستگاه های Router Board ارائه می شود و قابل خریداری نیست.

در جدول زیر به صورت کامل مدت زمان استفاده از امکانات لایسنس های مختلف نمایش داده شده است.

نکته : ارتقا یکباره سیستم عامل از نسخه خیلی قدیمی به نسخه جدید مانند ارتقا از نسخه 4 به نسخه 6 باعث از بین رفتن لایسنس می شود.

توجه مهم : یکی از مواردی که نیاز است نسخه لایسنس را ارتقا بدهیم، در رادیوهای با لایسنس لول 3 است. در این نسخه، رادیوها فقط در

bridge mode فعال شده و قابلیت تنظیم بر روی لینکهای point-to- point را دارا هستند با ارتقا لایسنس به نسخه 4 مود ap-bridge فعال شده و می توان رادیو را برای لینکهای point –to-Multipoint نیز تنظیم نمود.

مراحل تهیه آنلاین لایسنس های میکروتیک:

1- ثبت سفارش

در اولین مرحله لازم است وارد سایت:mikrotik.ir شوید و لایسنس مورد نیاز خودتان را انتخاب کنید.

سپس اطلاعات مورد نیاز را مانند تصویر زیر به دقت تکمیل نمایید.(نوع لایسنس خودتان را از میان دو گزینه های موجود انتخاب نمایید. وارد کردن کد نرم افزار در این مرحله الزامی است.)

2- پرداخت آنلاین

پس از تکمیل فرم با کلیک بر روی دکمه خرید به دروازه پرداخت بانک هدایت می شوید و می توانید به صورت آنلاین هزینه لایسنس را پرداخت نمایید.

3- دریافت پیغام خرید

به این ترتیب مطابق شکل پیام موفقیت خرید را مشاهده خواهید کرد و لایسنس به صورت خودکار به آدرس ایمیل شما ارسال می شود.

نحوه فعال کردن لایسنس خریداری شده بر روی روتر :

روش اول : Import Key

در صورت داشتن اکانت بر روی سایت میکروتیک می توانید بعداز لاگین، لایسنس لول یک را خریداری کنید. لایسنس تحت فایلی با پسوند key. به ایمیل شما ارسال می شود.بعد از دریافت این فایل، با استفاده از کلید import Key و معرفی مسیر لایسنس به روتر، پیغام reboot نمایش داده شده و بعد از ریبوت لایسنس بر روی روتر فعال می شود.

روش دوم : استفاده از کلید Paste Key

نمونه ای از فرمت لایستس در فایل text زیر نمایش داده شده است. در این روش از کل لایسنس کپی گرفته و بر روی کلید Paste کلیک کنید.

سپس وارد مسیر system>license شده و بر روی کلید Paste Key کلیک نمایید .

در این مقاله قصد داریم که چگونگی کانفیگ  DHCP server در روتر بورد های میکروتیک را به شما آموزش دهیم.

سیستم عامل میکروتیک این توانایی را به ما می دهد که بروی تک تک ether های خود، سرویس DHCP  راه اندازی کنیم. برای این کار کافی است که با winbox به میکروتیک خود وصل شده و همانند شکل در قسمت IP،بروی DHCP server کلیک کرده تا وارد تنظیمات DHCP server روتر خود شویم.سپس با کلیک بر روی DHCP Setup اقدام بهراه اندازی DHCP server می کنیم .

توجه مهم: لازم به ذکر است که ما ازقبل بر روی ether1 خود،آی پی 192.168.100.1 را set کرده ایم.

در این قسمت ابتدا ether که میخواهیم روی آن DHCP نصب شود را انتخاب می کنیم .

سپس خواهیم دید که سیستم به طور خودکار رنج شبکه ما را با توجه به IP که برروی ether خود گذاشته ایم شناسایی کرده است.

در این مرحله باید gateway را برای رنج شبکه ای که می خواهیم به وسیله DHCP به آن ها IP بدهیم را مشخص کنیم،که به طور پیش فرض IP، etherکه روی آن DHCP راه اندازی می شود داده شده است.

در این مرحله رنج IP هایی که می خواهیم به کاربران ما داده شود را تعیین می کنیم.

حال DNS Server را تعیین می کنیم.

و در مرحله آخر باید lease time را مشخص کرد. اگر روی 10 دقیقه set شود یعنی بعد از 10دقیقه که ارتباط قطع می گردد.IP از کلاینت ما گرفته می شود.

RoMON مخفف ” Router Management Overlay Network” است . این یک پروتکل جدید است که در نسخه های 6.28 به بعد روترهای میکروتیک قابل استفاده است. RoMON بر اساس لایه 2 یا لایه mac یک ارتباط مستقل نظیر به نظیر ایجاد می کند. 

نکته جذاب این پروتکل این است که ما میتوانیم تجهیزات میکروتیک به کار رفته در سرتا سر شبکه خود را مشاهده و مدیریت نماییم.
مثل این که در شبکه Local با استفاده از Winbox عملیات Discovery را انجام داده و با Mac Address به دستگاه متصل می شویم با این تقاوت که این پروتکل علاوه بر اینکه در لایه ۲ شبکه کار می کند در لایه ۳ نیز می تواند مورد استفاده قرار بگیرد.
هر روتر در شبکه RoMON دارای یک شناسه منحصر به فرد است که میتواند بخشی از آدرس mac باشد یا اینکه توسط خود کاربر مشخص شود.


ابزار کشف و مدیریت دستگاه های میکروتیک

• Winbox
• SSH
• Ping

فعال سازی RoMON

1- جهت فعال سازی تیک Enable زده شود.
2- ID روتر مشخص شود.
3- Secret یک عبارت مشترک بین روترها جهت ارتباط با یکدیگر

RoMON Port

در این قسمت میتوان مشخص کرد این قابلیت روی کدام یک از اینترفیس ها فعال شود. با انتخاب Interface و زدن تیک forbid این قابلیت روی آن اینترفیس غیر فعال می شود.
جهت امنیت بیشتر در شبکه میتوان از قسمت Secret یک رمز مشترک بین تمام روتر های در یک شبکه قرار داد تا بر اساس آن ارتباط رمزنگاری شود.

RoMON Discovery

با استفاده از این ابزار می توانید دستگاه های میکروتیک که پروتکل RoMON آنها فعال است را ببینید در این قسمت اطلاعاتی خوبی از قبیل مسیر دستیابی به دستگاه ، آدرسش ، هزینه دسترسی و…. داده می شود.

اتصال به RoMON با استفاده از Winbox

نکته ی مهم: اتصال از طریق winbaox نسخه 3 به RoMON امکان پذیر است.

اتصال به RoMON با استفاده از SSH

جهت اتصال به دستگاه مورد نظر از طریق دستور romon SSH اینکار را انجام می دهیم.

وقتی دو یا چند روتر به یک LAN Subnet متصل می شوند، همه آن ها می توانند به عنوان Default Gateway برای کاربران داخل LAN مورد استفاده قرار گیرند. اینجاست که ما به یک پروتکل دیگر جهت Redundancy نیاز پیدا می کنیم.

FHRP به نوعی از پروتکل ها اشاره دارد که در ایجاد Redundancy میان روترها در یک LAN Subnet از آنها استفاده می شود.

 این دسته از پروتکل ها باعث می شود تا هر دو یا چند روتر میکروتیک به عنوان یک  Default Gateway برای کاربران شبکه عمل کنند. در نتیجه کاربران نیاز به اعمال هیچ گونه تغییری در تنظیمات Default Gateway نخواهند داشت.

از این دسته پروتکل ها می توان به VRRP,HSRP,GLBP اشاره کرد.

GLBP و HSRP پروتکل های اختصاصی سیسکو هستند اما VRRP یک پروتکل استاندارد است.

پروتکل VRRP بسیار شبیه به پروتکل HSRP است. در این پروتکل چندین روتر در یک گروه مجازی معروف به گروه VRRP قرار خواهند گرفت و به کلیه روترهای قرار گرفته در این گروه یک IP Address و یک MAC Address مجازی اختصاص داده خواهد شد.

 در این پروتکل، در داخل گروه مجازیVRRP ، یک روتر در نقش روتر   Master و بقیه روتر ها به عنوان Backup قرار خواهند داشت. در این پروتکل تنها روتر Master قادر به ارسال ترافیک به مقصد خواهد بود.

 در این پروتکل روتری که بالاترین Priority را داشته باشد به عنوان روتر Master انتخاب خواهد شد. روتر Master با ارسال پیام های Advertisement به آدرس 224.0.0.18، به کلیه روترهای داخل گروه VRRP وضعیت خود را اعلام خواهد کرد.

این پیام ها به صورت پیش فرض هر یک ثانیه یکبار ارسال خواهد شد و در صورتی که ارسال پیام Advertisement از سمت روتر Master قطع شود و روترهای Backup در داخل گروه VRRP این پیام را دریافت نکنند، فرض بر از کار افتادن روتر Master گذاشته خواهد شد و یکی از روترهای Backup که دارای Priority بالاتری است به عنوان روتر Master انتخاب خواهد شد.

 Priority عددی بین 0 تا 255 خواهد بود و به صورت پیش فرض 100 است.

 سناریو زیر را تصور کنید:

4 روتر در این Subnet وجود دارد که هر کدام می توانند به عنوان Default Gateway کاربران در شبکه قرار گیرند و هدایت ترافیک به مقصد را بر عهده گیرند.

 مشکل زمانی رخ می دهد که یکی از روترها Down شود. پس آن کلاینت ها مجبور به تغییر Default Gateway خود خواهند شد که این عمل در یک شبکه Enterprise زمان بر است.

 این در حالی است که با پیکربندی پروتکل VRRP روی این 4 روتر و Set کردن Default Gateway کلاینت ها به IP Address گروه VRRP، کلاینت متوجه Down شدن روترها نمی شود و روتر دیگری وظیفه ارسال ترافیک به مقصد را برعهده خواهد گرفت. بدون نیاز به تغییر Default Gateway در کلاینت ها!

قصد داریم پروتکل VRRP را روی Ether1 روتر ها که به سمت شبکه داخلی است راه اندازی کنیم و به گروه VRRP آدرس IP 192.168.1.100 را اختصاص دهیم.

از این پس Default Gateway کلاینت ها باید 192.168.1.100 قرار گیرد. همچنین تصمیم داریم کلیه ترافیک تا زمانی که روتر G1 آپ هست، از این روتر عبور کند.

پس Priority این روتر را مقدار بالاتری Set می کنیم و Preemption را Enable می کنیم.  کلیه روترهایی که تصمیم داریم در این گروه VRRP قرار دهیم، باید VRID یکسانی داشته باشند.

اتصال کلیه روترها به اینترنت برقرار است و ما دیگر سراغ کانفیگ NAT و Default Route نمی رویم.

کانفیگ روتر G1:

ip address add address=192.168.1.10/24 interface=ether1-LAN/

interface vrrp add name=vrrp1 interface=ether1-LAN vrid=10 priority=101 preemption-mode=yes/

ip address add address=192.168.1.100/32 interface=vrrp1/

کانفیگ روتر G2:

ip address add address=192.168.1.20/24 interface=ether1-LAN/

interface vrrp add name=vrrp1 interface=ether1-LAN vrid=10 priority=100/

ip address add address=192.168.1.100/32 interface=vrrp1/

کانفیگ روتر G3:

ip address add address=192.168.1.30/24 interface=ether1-LAN/

interface vrrp add name=vrrp1 interface=ether1-LAN vrid=10 priority=100/

ip address add address=192.168.1.100/32 interface=vrrp1/

کانفیگ روتر G4:

ip address add address=192.168.1.40/24 interface=ether1-LAN/

interface vrrp add name=vrrp1 interface=ether1-LAN vrid=10 priority=100/

ip address add address=192.168.1.100/32 interface=vrrp1/

مشاهده وضعیت پروتکل VRRP با اجرای دستور زیر امکان پذیر است.

interface vrrp print/

نتیجه اجرا روی روتر G1:

فلگ RM بدین معنا است که این روتر به عنوان Master انتخاب شده و Running است.

نتیجه اجرا روی سایر روترها:

فلگ B بدین معنا است که این روتر به عنوان Backup انتخاب شده است.

در یک شبکه داخلی با تعدادی کاربر و پهنای باند محدود اینترنت عاقلانه نیست که تمام پهنای باند را بدون مدیریت و محدودیت به همه کاربران ارایه دهیم، زیرا ممکن است به کاربری بیش از اندازه پهنای باند برسد ولی به کاربر دیگر کمتر از حد معمول پهنای باند اختصاص داده شود.

 در این مقاله سعی بر این بوده با یک مثال ساده مفهوم این کانفیگ را به شما آموزش بدهیم. در این مثال فرض بر این بوده که 2 ویندوز شماره 1و2 به عنوان کلاینت های ما قرار دارند و روتر شماره 3 (واسط) و روتر شماره 4 (مقصد) ما است،هدف ما تقسیم پهنای باند 10M بین دو1روتر و2 است.

نکته ی مهم: ما در این سناریو از ویندوز به عنوان کلاینت ها و از Btest برای تست پهنای باند استفاده کردیم ولی تفاوتی ندارد اگر شما از سیستم عامل میکروتیک و از  bandwidth testمیکروتیک برای کنترل پهنای باند استفاده کنید. این نرم افزار را می توانید از سایت www.mikrotik.com دانلود بفرمایید.

لازم به ذکر است که PC های 1 و 2 با آدرس های زیر به روتر 3 متصل اند:

PC1: 172.16.16.1/24

PC2: 172.16.16.2/24

Router3: 172.16.16.3/24

و روتر 3 و 4 نیز با آدرس های زیر به هم وصل اند:

Router3: 192.168.1.3/24

Router4: 192.168.1.4/24

برای تقسیم 10M در دو PC ابتدا به روتر 3 رفته و در قسمت Queues در پنل سمت چپ winbox بروی علامت مثبت آبی رنگ کلیک می کنیم. ما می خواهیم 10M را به رنج آی پی های 172.16.16.0/24 اعمال کنیم،پس یک Queue به نام parent می سازیم و در قسمت target رنج آی پی خود را می نویسیم و در قسمت max limit مقدار پهنای باند مورد اعمال خود را می گذاریم،به تب advance نیز رفته و priority  آن را 1 می گذاریم.

توجه داشته باشید که چون این اولین queue ما و parent است پس قسمت parent را روی none ست می کنیم.

حال می خواهیم بر تک تک کلاینت های خود محدودیت اعمال کنیم پس دوباره برروی add  کلیک کرده و این بار queue ای با نام child1 می سازیم و در قسمت تارگت تک Ip  ویندوز شماره 1 یعنی 172.16.16.1  را وارد می نماییم،max limit  را 6M گذاشته و در تب advance، priority را روی 2 ست خواهیم کرد. parent را نیز همان parent تعیین می کنیم که در مرحله قبل ساختیم.

حال می خواهیم 4M باقی مانده را به کلاینت دیگر(ویندوز2) اختصاص دهیم. همانند مرحله قبل عمل می کنیم با این تفاوت که آی پی   172.16.16.2 و در تب advance ،priority را روی 3 می گذاریم.

حال برای آزمایش درستی کانفیگ انجام شده به PC1 رفته و با استفاده از BTest   آن را تست می کنیم.