24T9 Wiele topologii logicznych sieci z pomocą MSTP w Router OS [Konfiguracja Mikrotik]

Link do artykułu.

0:00 Wprowadzenie

1:16 Topologia

2:08 Konfiguracja

17:12 Konfiguracja MSTP

30:15 Podsumowanie

Transkrypcja

Cześć, kontynuując aspekt segmentacji sieci możemy natknąć się na temat z pogranicza wirtualnych sieci lokalnych i protokołu drzewa rozpinającego. Pytanie jak to miałoby nam pomóc przy segmentacji ruchu? Domyślnie używając protokołu STP cała komunikacja przekazywana jest tymi samymi ścieżkami przechodząc zawsze przez te same urządzenia. Wynika to z faktu, że nadmiarowe połączenia między Bridge są blokowane aby zapobiegać pętlom w sieci. Wynikiem działania algorytmu jest utworzenie jednej słusznej drogi do głównego Bridge dla całego ruchu. W efekcie ruch z sieci które generują dużo pakietów nakłada się z sieciami gdzie tych pakietów jest mniej. Jak można się domyślić ruch w tych sieciach wpływa na siebie nawzajem w niekorzystny sposób. To znaczy sieć z małym ruchem jest jeszcze bardziej przytłoczona, sieci z dużym ruchem zabierana jest również pewna szerokość pasma. Jednak można to rozsądnie rozwiązać wykorzystując protokół MSTP. Dzięki niemu w elastyczny sposób stworzymy ścieżki do głównego Bridge lub do różnych Bridge dla różnych segmentów sieci a przy okazji lepiej wykorzystamy nadmiarowe łącza. Do dzieła.

Router 1 będzie obsługiwał VLAN 10, 20. Router 2 będzie obsługiwał VLAN 30 i 40. Switche S1 i S2 będą prowadziły do RootBridge na routerze 1 dla VLAN 10 i 20 natomiast Switch 4 i Switch 3 będą prowadziły do Routbridge który będzie na routerze 2 dla VLANów 30 i 40. Każde urządzenie zostało przywrócone do ustawień fabrycznych bez domyślnej konfiguracji. Skonfigurowałem tam na każdym urządzeniu Bridge bez dodawania portów oraz na każdym urządzeniu uruchomiłem agenta RoMON co pozwoli nam sprawniej zarządzać konfiguracją.

Przejdźmy zatem do konfiguracji. Spójrzmy jak w tej chwili wygląda konfiguracja naszej sieci i połączenia między Bridge. W tym celu mamy tutaj uruchomionego już WinBoxa na routerze 1 ale sprawdźmy co dzieje się na sąsiednich urządzeniach. Podłączamy się do RoMONa, wybieramy Switch pierwszy i logujemy się do urządzenia. I zobaczmy co mamy. W obecnym momencie każdy z tych Bridge czyli Bridge R1 jak i Bridge S1 zachowują się tak jakby oba były RootBridge w zasadzie dla samych siebie. Wskazują na swojego Maca. Ponieważ jeszcze nie dodaliśmy do Bridge żadnych portów. Jeżeli tak się stanie zacznie nam się tworzyć drzewo STP.

A więc dodajmy porty do odpowiednich Bridge. Na R1 mamy podłączenie na ether5 do S1 a na Switchu 1 mamy podłączenie do ether1 i do ether4. Przebuduje nam się Bridge, za chwilę wrócimy. Znowu musimy się podłączyć do RoMONA na R1. Podłączamy się z powrotem do Switcha. I widzimy… Zaraz zobaczymy jaka jest różnica. Odpalamy sobie Bridge i teraz patrzymy status i nagle nasz RootBridge na R1 nie jest już głównym Rootem, tylko wskazuje urządzenie , które ma niższego Maca. Zatem jest trochę wyżej w hierarchi. Patrzymy na Bridge na S1. I rzeczywiście mamy zaznaczony RootBridge. Mac wskazujący na Switcha pierwszego.

Teraz jak zaczniemy dodawać kolejne urządzenia ta wartość może się zmieniać. A więc zróbmy sobie całą topologie tak jak powinna być i zaraz wrócimy do dalszej części konfiguracji MSTP. Po dodaniu wszystkich portów do poszczególnych Bridge dotarliśmy do ostatniego urządzenia czyli do Routera2. Tutaj też dodaliśmy już port do Bridge i teraz możemy sprawdzić które z urządzeń ma RootBridge. Wchodzimy w Bridge. Wchodzimy w status i widzimy, że RootBridge dla całej naszej topologii zostało urządzenie, które ma Maca początek 2C końcówka DD Może przez Neighborsów. Czyli widzimy, że 2C DD najprawdopodobniej będzie to to urządzenie. Czyli Switch3. Pójdźmy zatem zobaczmy na Switch 3 czy rzeczywiście tak jest. Podłączmy się do RoMONa na R1 i widzimy tutaj ten adres MAC.

Zalogujmy się na urządzenie i sprawdźmy czy nasz Switch S3 jest RootBridge I zgadza się, nasze urządzenie S3 jest RootBridge w całej tej topologii ponieważ ma najstarszy czy też najwcześniejszy adres Mac. Tak dzieje się standardowo przy protokole STP i RSTP natomiast żeby zmienić ważność Bridge możemy manipulować taką wartością która kryje się pod nazwą priority czyli priorytet i postarajmy się tu teraz zmienić na każdym urządzeniu, powiedzmy że chcemy aby nasz router R1 był RootBridge w topologii dlatego damy mu najniższy priorytet i zaraz zobaczymy czy nasza topologia zacznie się przygotowywać. Ok, zalogujmy się na… Zalogujmy się na S2 na każde urządzenie i zmieńmy ten priorytet. Czyli tak: S1 STP 2000 i tak zrobimy na każdym urządzeniu zgodnie z topologią na początku którą określiliśmy.

Zaraz wracamy do dalszej konfiguracji. Po dodaniu na każdym urządzeniu priorytetu w zakładce czy też na karcie STP możemy sprawdzić na routerze 2 znajdującym się po przeciwnej stronie naszej topologii jakie urządzenie jest w tym momencie RootBridge. Wchodzimy w status i patrzymy które urządzenie. Urządzenie o Macu C4 końcówka 2E i to jest nasz Bridge. RootBridge. Zgadza się. Status – zgadza się. Czyli przed chwilą dla routera 2 RootBridge był Switch nr 3 ponieważ miał najmniejszy Mac natomiast po przekonfigurowaniu STP i nadaniu priorytetów zgodnie z naszą topologią pokazaną na początku zgodnie z oczekiwaniami RootBridge stało się urządzenie R1. Teraz przygotujemy sobie nasze VLANy. A w ostatniej części skonfigurujemy już docelowo MSTP aby odpowiednie VLANy miały RootBridge prowadzące do różnych routerów.

W takim razie może zaczniemy od routera 1. Stworzymy sobie VLAN 10 na Bridge. VLAN20 na Bridge. Poszczególnym VLANom nadamy adresy. 192.168.10.1 z maską 24 w VLANie 10 i to samo zrobimy dla VLANu 20. VLAN 20, Apply, ok. Dla tych VLANów zróbmy sobie DHCP Serwer. Skorzystajmy z… z pomocy. Tak, to może sobie skrócimy do 10. Next. DNS Serwery niech będą ósemki. Lease Time na 10 minut. Ok. Zmienimy nazwę jeszcze może dhcp_vlan10. Apply. I zrobimy drugi. Dla VLANu20. Tak, tak, tak samo do 10. Tak. Może tutaj dla rozróżnienia damy czwórki. 10 min. Ok. Przy okazji zmienimy nazwę. dhcp_vlan20. Apply. I jeszcze pule adresowe dla przejrzystości konfiguracji. dhcp_pool_vlan10 dhcp_pool_vlan20 Apply, ok, ok. Networki dodane. I to samo robimy na drugim routerze dla VLANów 30 i 40.

Gdy dodaliśmy już VLANy na obu routerach możemy przejść do konfiguracji Bridge na wszystkich urządzeniach dodając do tablicy VLANów wszystkie VLANy które mają przechodzić przez nasze urządzenia. Na routerach dodajemy tylko te VLANy które będą nieobsługiwane. Natomiast na Switchach dodajemy wszystkie VLANy czyli od 10 do 40. Przechodzimy zatem do Bridge i do tablicy VLANów, dodajemy VLAN10 tagowany na Bridge i tagowany na na porcie 5. Tutaj sobie dodamy kolumnę tagowane, nietagowane. I to samo VLAN 20 tagowany na Bridge, tagowany na porcie 5. I z drugiej strony na routerze to samo. Bridge, VLANy, VLAN 30. Tagowany na Bridge i tagowany na tutaj na 1. Ok. Pokaż kolumny i VLAN 40 tagowany na Bridge. I na porcie 1.

Ok, to jest strona routerów, teraz przejdziemy na jednego ze Switchy. I tam dodamy wszystkie VLANy. Wykorzystajmy sobie znowu RoMONa do tego. I na przykład zacznijmy od S1. Czyli do tablicy VLANów dodajemy sobie poszczególne VLANy na odpowiednich portach oczywiście. 10 jest tagowany zarówno na 1 jak i na 2 jak i na 4. Ok. VLAN20 tagowany na tych samych portach czyli 1, 2 i 4. 30 – 1, 2 i 4 i 40… 1, 2 i 4. Podobną operację robimy na wszystkich Switchach a potem przejdziemy do konfiguracji MSTP.

Po dodaniu wszystkich VLANów do Bridge przechodzimy do głównej części czyli do konfiguracji MSTP. Ale przedtem powinniśmy ustawić na każdym urządzeniu uczestniczącym w MSTP instancję dla poszczególnych VLANów. Czyli na urządzeniu dla Bridge na routerze 2 wprowadzamy identyfikator oraz mapujemy VLANy. Tutaj będzie 10 i 20 z najwyższym priorytetem. Czyli będzie… Z najniższym priorytetem bo im bo im niższa wartość tym większy priorytet. Powinno być tak i tu 20. Apply, ok. Natomiast dla… identyfikator 2 dla VLANu 30 i VLANu 40. Będzie tutaj najwyższy priorytet w obrębie tylko tej instancji. Ok. Teraz przechodzimy na Switcha 3 który jest zaraz po R2. Przechodzimy na Switcha 2, przechodzimy do zakładki MSTIs i wprowadzamy podobne wartości czyli dla VLANów 10, 20 identyfikator będzie 1. Dla VLANów 10… 20 i priorytet będzie 4000. a dla VLANów 30 i 40 – 2000.

Przechodzimy do Switcha 2. Przechodzimy do Switcha 2 i robimy dokładnie to samo. Pamiętając że identyfikator pierwszy jest dla VLANów 10,20. Priorytet obniżamy do 3000. Ok i dwójka dla 30 i 40. Ok. To zamykamy. S2. S1. Identyfikator 1 dla VLANu 10 , 20 tj. 2000. I identyfikator 2 dla VLANów 30, 40 ma tutaj priorytet 4000. i na R1 dla VLANów 10, 20 jest największy priorytet na tym urządzeniu a dla VLANów 30, 40 priorytet jest największy, najniższy przepraszam, największa jest wartość więc najniższy priorytet. i teraz na poszczególnych urządzeniach możemy w końcu odpalić MSTP i zobaczmy jak zacznie nam się przebudowywać cała sieć żeby włączyć MSTP przechodzimy na zakładkę STP.

Zaznaczamy wartość MSTP. Tu zostawiamy priorytet bez zmian natomiast wprowadzamy dwie wartości, które muszą być wprowadzone. Jest to nazwa regionu nazwijmy sobie to dom i rewizja 1. Wszystkie urządzenia należące do jednego obszaru MSTP muszą mieć wprowadzone dokładnie takie same wartości. Klikamy Apply i oczywiście włączamy VLAN filtering I teraz dajemy Apply, ok. Pewnie gdzieś nam się przebuduje na tym urządzeniu a my klikamy sobie dalej. Przełączamy MSTP, region dom. Rewizja 1, VLAN filtering włączony, ok i lecimy na kolejne urządzenie. Byliśmy na S1, łączymy się z S2. Bridge STP, region dom, rewizja 1, Apply. Oczywiście vlan filtering jeszcze. Apply, ok. Kolejne urządzenie S3.

Podłączamy się do S3. Bridge, MSTP, region dom, rewizja 1, vlan filtering, Apply, ok I ostatnie urządzenie… I ostatnie urządzenie… R2. Bridge. STP tak, region dom, rewizja 1, Apply, vlan filtering, Apply. Ok I zaraz będziemy mogli wejść w… Poczekajmy chwilę niech to się przebuduje. Teraz aby zweryfikować działanie MSTP powinniśmy zweryfikować trzy rzeczy. A mianowicie czy wszystkie nasze urządzenia dodały się do regionu. W tym celu przechodzimy do zakładki… Przechodzimy do Bridge. Do zakładki status i sprawdzamy czy w polu MSTP Config Digest mamy tą samą wartość jeżeli tak to urządzenie zostało dodane poprawnie do regionu i funkcjonuje poprawnie MSTP. Sprawdzamy sobie to na routerze drugim. Tak, te dwa urządzenia są w tym samym regionie. Sprawdźmy sobie jeszcze jakieś urządzenie pośredniczące. Niech będzie to S2 – Switch 2.

Sprawdzamy tak: wszystkie te trzy urządzenia są dodane. Natomiast jeżeli nie będą dodane – jeżeli jakieś urządzenie nie będzie poprawnie dodane to ten numer nie powinien się zgadzać. Zobaczmy, może S4 bo tego do końca nie konfigurowaliśmy specjalnie. Przechodzimy na Bridge i widzimy. Wartość pola MST Config Digest jest inna od pozostałych czyli to urządzenie nie będzie w regionie jako składowa MSTP. Widzimy także, że regionalny RootBridge jest wskazaniem na niego samego. Więc żeby poprawić konfigurację trzeba zweryfikować dwie rzeczy. Czy region jest dobrze wprowadzony to po pierwsze a po drugie czy ustawienia MST i instancji MSTP są ustawione.

Widzimy, że nie są. Gdy tylko dodamy te instancje i wprowadzimy identyfikator dla VLANów 10,20. To będzie 1,2,3 tysiące… Apply, ok i identyfikator dla VLANów 30 i 40 i teraz możemy przejść na Bridge i sprawdzić czy ta wartość już się przebudowała. Jest. Już jesteśmy dodani do regionu. Więc to jest druga rzecz którą należy sprawdzić a trzecia rzecz oczywiście, którą należy sprawdzić to jest podłączenie się pod VLAN na którymś urządzeniu i sprawdzenie czy działają VLANy. Dlatego teraz tu już można wyłączyć. Przełączymy się na inne urządzenie. Powiedzmy, że podłączymy się do S2 do VLANu 30. I patrzymy tu jest bezprzewodówka a na przewodówce mamy VLAN 30 w trzecim oktecie 30 brama i DHCP serwer i 4 z DNSem. Czyli wszystko działa poprawnie.

Czy teraz wydaje się to lepiej zorganizowane? Jak zwykle można odpowiedzieć dwojako. Na pewno zyskujemy lepszą kontrolę nad organizacją ruchu sieciowego. Natomiast wymaga to od nas poświęcenia czasu na ręczną konfigurację. Coś za coś. Może i tracimy w imię automatyzmu w działaniu ale tym samym zyskujemy świadomość jak to jest zrobione. Raczej nie jest to technologia dla sieci domowych i do powszechnego użytku. Może nawet nigdy z niej nie skorzystacie ale czasem warto ją rozważyć jeżeli mamy w sieci dużo ruchu i chcemy go racjonalnie rozłożyć. Do zobaczenia.