MikroTik hEX’da SD-WAN tarmog‘ini yaratish: sxema, sozlash va qo‘llanish misollari
MikroTik hEX’da SD-WAN — bu filiallar, do‘konlar, ofislar va masofaviy obyektlarni bir nechta internet kanallari orqali birlashtirishning amaliy usuli. Bunday tarmoqda avtomatik zaxira kanalga o‘tish, himoyalangan VPN-tunnellar va trafikni moslashuvchan yo‘naltirish imkoniyati mavjud.
MikroTik RouterOS’da qimmat enterprise tizimlaridagi kabi “SD-WAN’ni yoqish” degan bitta tugma yo‘q. Lekin amalda SD-WAN’ni RouterOS’ning standart imkoniyatlari orqali qurish mumkin: WireGuard, IPsec, policy routing, mangle, PCC, failover, Netwatch, firewall va static routes.
Qisqa xulosa: MikroTik hEX kichik SD-WAN ssenariylari uchun mos: do‘kon, ofis, ombor, kassa tarmog‘i, videokuzatuv, kompaniya filiali yoki zaxira VPN kirish. Ko‘p filialli katta tarmoqlar uchun esa kuchliroq MikroTik CCR, RB5009, hAP ax, data-markazdagi yoki bulutdagi CHR tanlash ma’qul.
SD-WAN oddiy tilda nima?
SD-WAN — bu turli internet kanallari ustidan dasturiy boshqariladigan tarmoq. Bitta provayderga bog‘lanib qolish o‘rniga tashkilot bir vaqtning o‘zida bir nechta ulanishlardan foydalanishi mumkin: optika, LTE, radiokanal, GPON, korporativ internet yoki bulut orqali VPN.
SD-WAN’ning asosiy vazifasi faqat ofislarni bir-biriga ulash emas, balki tarmoqni ancha moslashuvchan qilishdir:
- asosiy kanal ishlamay qolsa, avtomatik zaxira internetga o‘tish;
- muhim trafikni himoyalangan VPN orqali yuborish;
- trafikni turiga qarab ajratish: kassa, videokuzatuv, telefoniya, ofis interneti;
- bir nechta provayderdan bir vaqtda foydalanish;
- filiallarni bosh ofis yoki data-markaz bilan markazlashgan holda ulash;
- qimmat enterprise-uskunalarsiz tarmoq ishonchliligini oshirish.
MikroTik hEX’da SD-WAN nimalardan iborat?
| Komponent | Nima uchun kerak | RouterOS’da qanday amalga oshiriladi |
|---|---|---|
| VPN-tunnel | Filiallar orasida himoyalangan ulanish | WireGuard yoki IPsec |
| Ikkita internet kanali | Zaxiralash yoki yuklamani taqsimlash | Static routes, check-gateway, recursive routing |
| Policy routing | Kerakli trafikni kerakli kanal orqali yuborish | Routing tables, routing rules, mangle |
| Failover | Kanal uzilganda avtomatik almashtirish | Distance, recursive routes, Netwatch |
| Balanslash | Ulanishlarni provayderlar o‘rtasida taqsimlash | PCC yoki ECMP |
| Monitoring | Internet va tunnel mavjudligini nazorat qilish | Netwatch, scripts, logs |
MikroTik hEX’da bazaviy SD-WAN sxemasi
Oddiy sxemani ko‘rib chiqamiz: bosh ofis va bitta filial mavjud. Filialda MikroTik hEX o‘rnatilgan va u ikki provayderga ulangan. Filial va bosh ofis o‘rtasida WireGuard tunneli yaratiladi. Muhim trafik VPN orqali, oddiy internet esa lokal provayder orqali ishlaydi.
| Uzel | Manzillash misoli | Vazifasi |
|---|---|---|
| Bosh ofis / CHR / markaziy MikroTik | LAN: 10.10.0.0/24, WireGuard: 10.255.0.1/30 | SD-WAN markaziy uzeli |
| Filialdagi MikroTik hEX | LAN: 192.168.10.0/24, WireGuard: 10.255.0.2/30 | Masofaviy ofis, do‘kon yoki ombor |
| WAN1 | Asosiy internet | Asosiy kanal |
| WAN2 | Zaxira internet yoki LTE | WAN1 uzilganda zaxira kanal |
Misol 1. Filial va bosh ofis o‘rtasida WireGuard-tunnel
WireGuard MikroTik’da kichik SD-WAN uchun qulay variant hisoblanadi. Uni sozlash klassik IPsec’ga qaraganda osonroq, filiallar uchun yaxshi mos keladi va RouterOS v7’da qo‘llab-quvvatlanadi.
Filialdagi MikroTik hEX sozlamasi
/interface wireguard
add name=wg-to-hq listen-port=13231 mtu=1420
/ip address
add address=10.255.0.2/30 interface=wg-to-hq comment="SD-WAN tunnel to HQ"
/interface wireguard peers
add interface=wg-to-hq \
public-key="PUBLIC_KEY_OF_HQ" \
endpoint-address=203.0.113.10 \
endpoint-port=13231 \
allowed-address=10.10.0.0/24,10.255.0.1/32 \
persistent-keepalive=25s
/ip route
add dst-address=10.10.0.0/24 gateway=wg-to-hq comment="Route to HQ LAN via SD-WAN"Markaziy MikroTik sozlamasi
/interface wireguard
add name=wg-branch-1 listen-port=13231 mtu=1420
/ip address
add address=10.255.0.1/30 interface=wg-branch-1 comment="SD-WAN tunnel to Branch 1"
/interface wireguard peers
add interface=wg-branch-1 \
public-key="PUBLIC_KEY_OF_BRANCH" \
allowed-address=192.168.10.0/24,10.255.0.2/32 \
persistent-keepalive=25s
/ip route
add dst-address=192.168.10.0/24 gateway=wg-branch-1 comment="Route to Branch LAN"Muhim: WireGuard public-key qiymatlarini o‘z qurilmalaringizdagi real kalitlarga almashtirish kerak. Markaziy MikroTik firewall’ida WireGuard UDP portiga kirishga ruxsat berilishi lozim.
Misol 2. Ikki provayder va avtomatik failover
SD-WAN’ning eng ko‘p ishlatiladigan ssenariylaridan biri — asosiy kanal ishlamay qolsa, zaxira kanalga avtomatik o‘tish. Masalan, WAN1 — asosiy optik internet, WAN2 — LTE yoki ikkinchi provayder.
/ip route
add dst-address=8.8.8.8 gateway=192.0.2.1 scope=10 comment="Check host via WAN1"
add dst-address=1.1.1.1 gateway=198.51.100.1 scope=10 comment="Check host via WAN2"
add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping comment="Main internet via WAN1"
add dst-address=0.0.0.0/0 gateway=1.1.1.1 distance=2 check-gateway=ping comment="Backup internet via WAN2"Mantiq oddiy: asosiy kanal ishlayotgan paytda trafik WAN1 orqali ketadi. Agar WAN1 orqali tekshiruv manzili javob bermasa, marshrut ishlamaydi va MikroTik trafikni WAN2 orqali yuboradi.
Ogohlantirish: misoldagi gateway va tekshiruv IP-manzillari shartli. Amaliyotda ularni provayderlaringiz bergan real gateway manzillariga almashtirish va konfiguratsiyani test muhitida tekshirish kerak.
Misol 3. Policy routing: kassa va 1C VPN orqali, oddiy internet to‘g‘ridan-to‘g‘ri
Do‘kon yoki filialda ko‘pincha kassa, 1C, CRM yoki bank terminali faqat bosh ofisga himoyalangan VPN orqali ulanishi, xodimlarning oddiy interneti esa lokal provayder orqali ishlashi kerak bo‘ladi.
Misol: kassa qurilmasining IP manzili 192.168.10.50, bosh ofis tarmog‘i esa 10.10.0.0/24.
/routing table
add name=to-hq fib
/ip route
add dst-address=0.0.0.0/0 gateway=wg-to-hq routing-table=to-hq comment="All marked POS traffic via HQ tunnel"
/routing rule
add src-address=192.168.10.50/32 action=lookup table=to-hq comment="POS terminal via SD-WAN tunnel"Bunday sozlamadan keyin kassa trafiki himoyalangan tunnel orqali yuboriladi, qolgan foydalanuvchilar esa lokal provayder orqali oddiy internetdan foydalanishda davom etadi.
Misol 4. Ikki internet kanalini PCC orqali balanslash
Agar ofisda ikkita internet kanali bo‘lsa va ikkalasi ham barqaror ishlasa, ikkinchi kanalni faqat zaxira sifatida emas, balki yangi ulanishlarni taqsimlash uchun ham ishlatish mumkin. Buning uchun ko‘pincha PCC — per connection classifier ishlatiladi.
/ip firewall mangle
add chain=prerouting in-interface=bridge-lan connection-mark=no-mark \
per-connection-classifier=both-addresses:2/0 action=mark-connection \
new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting in-interface=bridge-lan connection-mark=no-mark \
per-connection-classifier=both-addresses:2/1 action=mark-connection \
new-connection-mark=WAN2_conn passthrough=yes
add chain=prerouting in-interface=bridge-lan connection-mark=WAN1_conn \
action=mark-routing new-routing-mark=to_WAN1 passthrough=no
add chain=prerouting in-interface=bridge-lan connection-mark=WAN2_conn \
action=mark-routing new-routing-mark=to_WAN2 passthrough=no
/routing table
add name=to_WAN1 fib
add name=to_WAN2 fib
/ip route
add dst-address=0.0.0.0/0 gateway=192.0.2.1 routing-table=to_WAN1
add dst-address=0.0.0.0/0 gateway=198.51.100.1 routing-table=to_WAN2PCC ikki kanalni bitta yuklab olish uchun “bitta katta internet”ga aylantirmaydi, lekin turli ulanishlarni provayderlar o‘rtasida taqsimlaydi. Bu ko‘p foydalanuvchili ofislar uchun foydali.
Misol 5. Netwatch orqali kanal monitoringi
Netwatch provayder, server, tunnel yoki bulut uzelining mavjudligini kuzatish uchun ishlatiladi. Masalan, bosh ofisga ulanish yo‘qolsa, MikroTik log yozishi yoki skript bajarishi mumkin.
/tool netwatch
add host=10.255.0.1 interval=00:00:30 timeout=2s \
up-script="/log info \"SD-WAN tunnel to HQ is UP\"" \
down-script="/log warning \"SD-WAN tunnel to HQ is DOWN\""Murakkabroq sxemalarda Netwatch zaxira tunnelni yoqish, administratorga xabar yuborish yoki vaqtincha marshrutlarni o‘zgartirish uchun ishlatilishi mumkin.
MikroTik hEX’da SD-WAN qayerda qo‘llaniladi?
1. Do‘konlar va kassa nuqtalari tarmog‘i
Kompaniyaning Toshkent va viloyatlarda bir nechta do‘konlari bor. Har bir do‘konda MikroTik hEX, kassa, to‘lov terminali, videokamera va ishchi kompyuter o‘rnatilgan. SD-WAN orqali kassa va terminal bosh ofisga VPN orqali ulanadi, xodimlarning oddiy interneti esa to‘g‘ridan-to‘g‘ri ishlaydi.
| Vazifa | SD-WAN orqali yechim |
|---|---|
| Kassa ofisdagi serverni ko‘rishi kerak | WireGuard-tunnel orqali marshrut |
| Provayderda muammo bo‘lsa ham internet ishlashi kerak | WAN1 + WAN2 failover |
| Videokuzatuv kassa trafikiga xalaqit bermasligi kerak | Policy routing va firewall orqali trafikni ajratish |
2. Kompaniya filiallari
Bosh ofis Toshkentda, filiallar esa Samarqand, Buxoro, Farg‘ona yoki boshqa shaharlarda joylashgan bo‘lishi mumkin. Har bir filial markaziy MikroTik yoki CHR’ga VPN-tunnel orqali ulanadi. Xodimlar CRM, 1C, fayl server yoki IP-telefoniya xizmatlariga kirish imkoniyatiga ega bo‘ladi.
Bunday ssenariy qimmat MPLS kanallarini xarid qilmasdan, lokal provayderlarning oddiy interneti ustidan himoyalangan tunnel qurish imkonini beradi.
3. Masofaviy obyektlarda videokuzatuv
Ombor, qurilish maydoni, AYOQSH yoki masofaviy obyektga MikroTik hEX, kameralar va videoregistrator o‘rnatilgan bo‘lishi mumkin. SD-WAN obyektga masofadan ulanish, kameralarni ko‘rish, uskunalarni texnik qo‘llab-quvvatlash va asosiy kanal uzilganda LTE zaxira kanal orqali kirishni saqlash imkonini beradi.
4. Ofis uchun zaxira internet
Ofis asosiy optik internet va zaxira LTE-routerdan foydalanadi. MikroTik hEX asosiy provayder javob bermasa, trafikni avtomatik zaxira kanalga o‘tkazadi. Asosiy kanal tiklangandan keyin trafik yana asosiy yo‘lga qaytadi.
5. Markazlashgan tarmoq boshqaruvi
Agar kompaniyada ko‘p kichik obyektlar bo‘lsa, SD-WAN kirishni markazlashtirishga yordam beradi: administrator bosh uzelga ulanadi va barcha filiallarni VPN-marshrutlar orqali ko‘ra oladi. Bu yangilash, diagnostika va texnik yordam uchun qulay.
MikroTik hEX’da SD-WAN afzalliklari
- enterprise SD-WAN bilan solishtirganda arzonroq narx;
- kichik ofis, do‘kon va filiallar uchun mos;
- ikki yoki undan ortiq internet kanalidan foydalanish mumkin;
- WireGuard yoki IPsec himoyalangan tunnellarini qo‘llab-quvvatlaydi;
- policy routing orqali trafikni moslashuvchan yo‘naltirish;
- avtomatik failover imkoniyati;
- firewall, NAT, queues va monitoring qo‘llab-quvvatlashi;
- narx va moslashuvchanlik muhim bo‘lgan O‘zbekiston loyihalari uchun yaxshi variant.
MikroTik hEX’da SD-WAN cheklovlari
MikroTik hEX kichik SD-WAN ssenariylari uchun yaxshi mos keladi, lekin unda cheklovlar bor. Agar o‘nlab filiallarni ulash, katta VPN-trafikni qayta ishlash, murakkab BGP sxemalarini qurish yoki shifrlash orqali yuzlab megabit trafik uzatish kerak bo‘lsa, kuchliroq qurilmalarni tanlash yaxshiroq.
| Ssenariy | hEX mos keladimi? | Yuqori yuklamada nima tanlash kerak? |
|---|---|---|
| 1–3 filial, kassa, ofis kirishi | Ha | hEX, hEX S, E50UG, E60iUGS |
| Ko‘p VPN-trafik va bir nechta provayder | Cheklangan | RB5009, hAP ax, CCR |
| Data-markazli katta tarmoq | Yo‘q | CCR, Cloud Hosted Router |
| Murakkab routing, BGP, yuqori yuklama | Yo‘q | CCR-seriya yoki CHR |
Joriy qilish bo‘yicha tavsiya etilgan tartib
- avval RouterOS’ni aktual stable-versiyaga yangilash;
- konfiguratsiyaning backup nusxasini olish;
- bazaviy internet va firewall’ni sozlash;
- ikkinchi WAN-kanalni ulash;
- failover sozlash;
- WireGuard yoki IPsec tunnel yaratish;
- filiallar o‘rtasida marshrutlarni qo‘shish;
- muhim trafik uchun policy routing sozlash;
- WAN1 va WAN2 o‘chirilganda ishlashini tekshirish;
- Netwatch, logging va bildirishnomalarni qo‘shish.
Muhim: ishchi obyektga SD-WAN joriy qilishdan oldin konfiguratsiyani albatta test qiling. Mangle, routing table yoki firewall’dagi xato routerga masofaviy kirish yo‘qolishiga olib kelishi mumkin.
Xulosa
MikroTik hEX’da SD-WAN — do‘konlar, ofislar, omborlar, filiallar va masofaviy obyektlar uchun ishonchli tarmoq qurishning arzon va moslashuvchan usuli. RouterOS yordamida bir nechta internet kanalini birlashtirish, himoyalangan VPN-tunnellar yaratish, muhim trafikni bosh ofis orqali yuborish va zaxira kanalga avtomatik o‘tishni sozlash mumkin.
Kichik loyihalar uchun MikroTik hEX amaliy yechim hisoblanadi: ixcham, arzon, moslashuvchan va funksional. Katta SD-WAN tarmoqlari uchun esa RB5009, CCR yoki data-markazdagi Cloud Hosted Router ko‘rib chiqilishi kerak.
Amaliy tavsiya: O‘zbekistonda kichik biznes uchun optimal sxema — filialda MikroTik hEX, bosh ofisda markaziy MikroTik yoki CHR, WireGuard-tunnel, ikkita WAN-kanal va kassa, 1C, CRM yoki videokuzatuv uchun policy routing.