Jump to content

Отказоустойчивая конфигурация сети на 2х маршрутизаторах

amper
 Share

Recommended Posts

amper

amper

Posted
Posted

Сейчас имеем сеть с около 200 ПК попиленную на VLAN'ы и в центре CCR1009, DHCP где-то виндовые, где-то на микротике, где-то вообще статикой указано (серверы).

В инет несколько белых IP.

 

Пока вижу какую-то такую схему - выдать резервному маршрутизатору один из белых IP, скопировать (максимально возможно) на него конфигурацию с основного, но поотключать интерфейсы, в случае падения основного подключиться к резервному и активировать интерфейсы (с теми же IP адресами, что и на основном), но иногда может быть ситуация (пару раз было) когда на основном начинаются жесткие тормоза, потери пинга и т.д. и подключиться к интерфейсу управления невозможно, watchdog не срабатывает (т.к. лежит не полностью) и соответственно активация интерфейсов на резервном особо ничего не даст т.к. будет конфликт.

 

Поделитесь опытом, кто как реализовывал обеспечение отказоустойчивости с помощью 2х роутеров?

amper

amper

Posted
  • Author
Posted (edited)

Схема сети примерно такая, cерверы в одном VLAN'e, у клиентских свичей - отдельные VLAN'ы, между ними соответственно маршрутизация.

 

Магистральные линки оптика 1 гбит, есть желание перенести серверные аплинки на 10 гбит, но на CRS1009 только один SFP+ порт, соответственно для полной совместимости второй надо брать такой же (хотя они уже и сняты с пр-ва), на остальных свичах только SFP.


В теории чтобы можно было отцепить умерший микротик надо сажать его на за свич и больше к нему напрямую ничего не подключать, а при неоходимости просто тушить порт, но тогда встает вопрос по кол-ву SFP+ портов и аплинков. В перспективе добавится еще одна серверная, соответственно в центр нужен свич как минимум с 3 SFP+. Есть 2шт Cisco 500 Series SG500X-48P, планировали задействовать их, либо взять CRS317-1G-16S+RM - но есть ли там адекватная поддержка RSTP (для защиты от петель) и совместим ли он с S+RJ10?

@vurd

Интересное решение, весь heartbeat трафик по каждому интерфейсу отдельно или можно загнать его в служебный management VLAN?
В статье человек жалуется, что что VRRP на WAN интерфейсе некорректно работает IPSEC. Наверняка еще какие-то подводные камни есть?

 

Кстати, при экспорте\импорте конфигурации 

system backup save name=lastconfig
system backup load name=lastconfig.backup

сертификаты так же импортируются? В основном меняться будут правила firewall'a, address list's и ppp secrets, может быть есть смысл синхронизировать только их?
 

net_scheme.jpg

Edited by amper
Saab95

Saab95

Posted
Posted

Просто надо все коммутаторы заменить на микротики, например на CRS317-1G-16S+RM  если надо много портов. Далее на каждом настраиваете выдачу нужного IP на абонентский порт. Тогда терминация в IP произойдет и в центре уже не потребуется городить устаревшие фичи. Далее по всей сети будет работать маршрутизация, и можно соединить роутеры не через центр, а как удобнее, заодно, если там файлами обмениваются, данные кратчайшим путем пойдут.

vurd

vurd

Posted
Posted
15 минут назад, Saab95 сказал:

Просто надо все коммутаторы заменить на микротики, например на CRS317-1G-16S+RM  если надо много портов. Далее на каждом настраиваете выдачу нужного IP на абонентский порт. Тогда терминация в IP произойдет и в центре уже не потребуется городить устаревшие фичи. Далее по всей сети будет работать маршрутизация, и можно соединить роутеры не через центр, а как удобнее, заодно, если там файлами обмениваются, данные кратчайшим путем пойдут.

 

У меня вот вопрос по поводу идеологии l3 на абонентском порту. А как вы собираетесь реализовывать ipv6?

Чем больше я думаю об этом, тем очевидней становится схема с qnq-брасом в центре, однако попутно еще возникают вопросы с резервом самого транспорта, что приводит к словам навроде mpls.

Как вы видите этот вопрос в сфере разнесенного л3 у себя, например.

Saab95

Saab95

Posted
Posted

v6 пока что не пришел в массы, более того, микротик умеет работать с v6, и OSPF умеет работать с v6, так что никаких проблем не возникнет. На крайний случай, если сеть выросла и в центре появилось серьезная железка брас, ничего не помешает прокинуть все каналы абонентов через MPLS.

vurd

vurd

Posted
Posted
5 минут назад, Saab95 сказал:

v6 пока что не пришел в массы, более того, микротик умеет работать с v6, и OSPF умеет работать с v6, так что никаких проблем не возникнет. На крайний случай, если сеть выросла и в центре появилось серьезная железка брас, ничего не помешает прокинуть все каналы абонентов через MPLS.

Проблема возникнет с выдачей адресации в первом случае, а во втором с терминацией кучи pw.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.