Jump to content
Калькуляторы

Отказоустойчивая конфигурация сети на 2х маршрутизаторах

Сейчас имеем сеть с около 200 ПК попиленную на VLAN'ы и в центре CCR1009, DHCP где-то виндовые, где-то на микротике, где-то вообще статикой указано (серверы).

В инет несколько белых IP.

 

Пока вижу какую-то такую схему - выдать резервному маршрутизатору один из белых IP, скопировать (максимально возможно) на него конфигурацию с основного, но поотключать интерфейсы, в случае падения основного подключиться к резервному и активировать интерфейсы (с теми же IP адресами, что и на основном), но иногда может быть ситуация (пару раз было) когда на основном начинаются жесткие тормоза, потери пинга и т.д. и подключиться к интерфейсу управления невозможно, watchdog не срабатывает (т.к. лежит не полностью) и соответственно активация интерфейсов на резервном особо ничего не даст т.к. будет конфликт.

 

Поделитесь опытом, кто как реализовывал обеспечение отказоустойчивости с помощью 2х роутеров?

Share this post


Link to post
Share on other sites

Нарисуйте схему, online  и offline рисовалки

Edited by Chexov

Share this post


Link to post
Share on other sites

Схема сети примерно такая, cерверы в одном VLAN'e, у клиентских свичей - отдельные VLAN'ы, между ними соответственно маршрутизация.

 

Магистральные линки оптика 1 гбит, есть желание перенести серверные аплинки на 10 гбит, но на CRS1009 только один SFP+ порт, соответственно для полной совместимости второй надо брать такой же (хотя они уже и сняты с пр-ва), на остальных свичах только SFP.


В теории чтобы можно было отцепить умерший микротик надо сажать его на за свич и больше к нему напрямую ничего не подключать, а при неоходимости просто тушить порт, но тогда встает вопрос по кол-ву SFP+ портов и аплинков. В перспективе добавится еще одна серверная, соответственно в центр нужен свич как минимум с 3 SFP+. Есть 2шт Cisco 500 Series SG500X-48P, планировали задействовать их, либо взять CRS317-1G-16S+RM - но есть ли там адекватная поддержка RSTP (для защиты от петель) и совместим ли он с S+RJ10?

@vurd

Интересное решение, весь heartbeat трафик по каждому интерфейсу отдельно или можно загнать его в служебный management VLAN?
В статье человек жалуется, что что VRRP на WAN интерфейсе некорректно работает IPSEC. Наверняка еще какие-то подводные камни есть?

 

Кстати, при экспорте\импорте конфигурации

system backup save name=lastconfig
system backup load name=lastconfig.backup

сертификаты так же импортируются? В основном меняться будут правила firewall'a, address list's и ppp secrets, может быть есть смысл синхронизировать только их?
 

net_scheme.jpg

Edited by amper

Share this post


Link to post
Share on other sites
9 часов назад, amper сказал:

RSTP (для защиты от петель)

ужас...

Share this post


Link to post
Share on other sites

Просто надо все коммутаторы заменить на микротики, например на CRS317-1G-16S+RM  если надо много портов. Далее на каждом настраиваете выдачу нужного IP на абонентский порт. Тогда терминация в IP произойдет и в центре уже не потребуется городить устаревшие фичи. Далее по всей сети будет работать маршрутизация, и можно соединить роутеры не через центр, а как удобнее, заодно, если там файлами обмениваются, данные кратчайшим путем пойдут.

Share this post


Link to post
Share on other sites
15 минут назад, Saab95 сказал:

Просто надо все коммутаторы заменить на микротики, например на CRS317-1G-16S+RM  если надо много портов. Далее на каждом настраиваете выдачу нужного IP на абонентский порт. Тогда терминация в IP произойдет и в центре уже не потребуется городить устаревшие фичи. Далее по всей сети будет работать маршрутизация, и можно соединить роутеры не через центр, а как удобнее, заодно, если там файлами обмениваются, данные кратчайшим путем пойдут.

 

У меня вот вопрос по поводу идеологии l3 на абонентском порту. А как вы собираетесь реализовывать ipv6?

Чем больше я думаю об этом, тем очевидней становится схема с qnq-брасом в центре, однако попутно еще возникают вопросы с резервом самого транспорта, что приводит к словам навроде mpls.

Как вы видите этот вопрос в сфере разнесенного л3 у себя, например.

Share this post


Link to post
Share on other sites

v6 пока что не пришел в массы, более того, микротик умеет работать с v6, и OSPF умеет работать с v6, так что никаких проблем не возникнет. На крайний случай, если сеть выросла и в центре появилось серьезная железка брас, ничего не помешает прокинуть все каналы абонентов через MPLS.

Share this post


Link to post
Share on other sites
5 минут назад, Saab95 сказал:

v6 пока что не пришел в массы, более того, микротик умеет работать с v6, и OSPF умеет работать с v6, так что никаких проблем не возникнет. На крайний случай, если сеть выросла и в центре появилось серьезная железка брас, ничего не помешает прокинуть все каналы абонентов через MPLS.

Проблема возникнет с выдачей адресации в первом случае, а во втором с терминацией кучи pw.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now