23T21 2xISP Active:Pasive z Detekcją PING w 9 min. [konfiguracja Mikrotik]
2x ISP Active/Pasive
Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:58 Konfiguracja
8:44 Podsumowanie
TranskrypcjA
Cześć. Jeżeli masz dwóch operatorów i chciałbyś zapewnić sobie niezawodność ActivePassive to dzisiaj pokażę jak to wykonać na Mikrotiku. Czyli trzeba z jednej strony ustawić pewne pomiary wysyłamy pingi cały czas dla każdego z łącz, każdego operatora i w zależności od tego czy ten test wychodzi pozytywnie czy nie to odpowiednio modyfikujemy tablicę routingu. Proste, nieskomplikowane wystarczy skonfigurować i na wypadek awarii danego operatora jesteś zabezpieczony i możesz spokojnie spać. Jeżeli ten
operator przywróci swoją usługę ten test zacznie działać właściwie, to z powrotem jego połączenie będzie działać czyli automatycznie się znowu przekonfiguruję i oto właśnie chodzi.
Zacznijmy od tego co tutaj mamy, mamy dwa interfejsy. Jak widzisz za adresacją sieci 172.168.1 maska 24 bity i drugi interfejs sieć 192.168.1 i też 24 bity. Adresy są przypisane z DHCPa tak jak tutaj widzisz powyżej, końcówka 50 i końcówka 5. Jeżeli chodzi Gateway’e w każdej z tych sieci z końcówką 1 jest przypisany Gateway. No i teraz Idźmy dalej jeżeli chcemy konfigurować Mikrotika do współpracy z dwoma operatorami to potrzebujemy dodać nową trasę routingu i to będzie zagnieżdżona trasa routingu więc wpisujemy tutaj adresację na serwer 8844 i przez Gateway 192.168.1.1 distance czyli hierarchia wyboru trasy 1 i wpisujemy Scope i Target Scope, które są odpowiedzialne za wybranie Nexhopa bo będziemy mieli dwa wpisy, które będą ze sobą mogły konkurować.
Jeżeli chodzi o Scope i Target Scope to zasada jest jedna.Target Scope nie może być większy niż Scope. Czyli tak jak tutaj mamy dwa na tym samym poziomie 10, 10. Wartości nie są takie istotne, możesz wydobywać sobie dowolne wartości. Chodzi o to że jeżeli są co najmniej równe lub mniejsze to dany Nexthop będzie brany pod uwagę. Tutaj jest od razu informacja, że będzie dostępny ten Gateway przez interfejs ISP_2. Czyli mamy jeden
wpis routingu. Tutaj widać jednocześnie, że jest AS czyli Active Static. Czyli ta trasa jest teraz aktywna, która prowadzi do serwera 8844. Będziemy ten serwer sprawdzać za chwilę żeby wiedzieć czy dany ISP działa prawidłowo, przez jakiego Gatewaya idzie i dla tej trasy distance to jest 1.
Drugi wpis będzie dla drugiego serwera, który będziemy sprawdzać. Tym drugim serwerem będzie 8.8.8.8 przez Gatewaya 172.168.1.1. Tutaj Distance 1 nadal zostawiamy. Scope i Targetscope po 10. Dostępny jest ten Gateway przez ISP_1. No i mamy teraz dwie trasy statyczne aktywne wpisane, że do tego żebyśmy mogli sprawdzać dzięki tym wpisom, przez konkretny interfejs, dany konkretny serwer i teraz będziemy wpisywać dwie domyślne trasy. Pierwsza z nich będzie szła przez serwer, czy będzie sprawdzała Gateway 8.8.8.8, będzie wysyłała na ten Gateway a ten Gateway jest powiązany z ISP_1 czyli wskazujemy Gateway’a 8.8.8.8 i on jest powiązany z ISP_1 i tutaj wpisujemy Distance1 czyli domyślnie, natomiast Scope.
Zauważ w tym konkretnym wpisie trasy routingu jest 30 a Target Scope 10. Czyli jeżeli będzie dany router sprawdzał który Nexthop wybrać to będzie wybierany Nexthop, który jest równy lub mniejszy Target Scope. W tym przypadku widzimy, że jest kolejna trasa aktywna. Przez 8.8.8 i ISP_1. Distance
Kolejna klasa również domyślna i teraz będzie przez Gateway’a 8.8.4.4. Sprawdzamy przez pinga, ustalamy Distance na 2. Czyli to będzie w tablicy routingu zapasowa trasa i Scope też 30, Target Scope 10. Target Scope i Scope są po to, żeby się nie zapętlały Gateway’e pomiędzy wpisami 8.8.8.8., 8.8.4.4 a tymi wpisami domyślnymi. Chodzi o to, żeby zapobiec pętli logicznej wybierania Nexthop’a. Po to jest tutaj Scope 30 w jednej i w drugiej trasie, która dotyczy domyślnego wyjścia. Dobrze, mamy i tu widać, że ta druga trasa już nie jest aktywna. Jest tylko Static bo mamy Distance 2. Czyli jest wyższy koszt tej trasy administrative distance, w związku z tym jest ona trzymana w zapasie.
Kolejną rzeczą, którą potrzebujemy zrobić to konfiguracja Firewalla i będziemy konfigurować teraz dwa src nat dla każdego interfejsu ISP czyli ISP_2 będzie Maskarada i tak samo dla interfejsu ISP_1 Maskarada. Tak żebyśmy wychodzili przez Nat’a związanego z każdym interfejsem poszczególnego operatora. Mamy dwie maskarady skonfigurowane to co jeszcze potrzebujemy skonfigurować, to Netwatch. Tutaj w Tools i Netwatch. Tutaj konfigurujemy naszego hosta, którego będziemy badać 8.8.8.8 – z jaką częstotliwością i jaki będzie timeout. 400 ms i interwał 5 sekund. Co się ma stać jeżeli będzie warunek spełniony.
Czyli jeżeli będzie nam ten system odpowiadał wtedy włączamy, uruchamiamy daną trasę. Z Destination adres domyślna trasa i Gatewayem 8.8.4.4. Czyli ten tutaj, który jest teraz nieaktywny, czyli tylko z literką s i distance 2, on będzie wtedy włączony. Jeżeli ten warunek będzie sprawdzenia tego serwera 8.8.4.4 będzie spełniony. Przeciwny warunek, wyłączona trasa jeżeli ten serwer 8.8.4.4 nie będzie odpowiadał. Mamy jeden warunek stworzony, drugi warunek dla drugiego serwera czyli 8.8.4.4, podobnie zmieniamy na 5 sekund timeout 400 ms i warunki dotyczące tras routingu.
Włączamy tą trasę, czy uruchamiamy jeżeli nasz Gateway odpowiada, Gateway 8.8.8.8, tak. Czyli widzimy że ta jest ta trasa z distance 1 i jeżeli chodzi o Down tutaj wyłączamy tą trasę jeżeli ten serwer nie odpowiada. No dobra wszystko jest pokonfigurowane i teraz najważniejszy moment czy nam to wszystko zadziała. Co nam się pokaże, jeżeli będzie działać. Będzie widać, że jest zmiana przełączenia trasy. Czyli z Active Static trasa ISP_1 zostanie przełączona na Static a Static ten przez ISP_2 będzie przełączony na Active Static. Czyli czekamy aż się tutaj zmieni AS na S.
No i jest, Jest sukces -przełączyła nam się trasa. Czyli widzimy, że przestał odpowiadać ten serwer przez ISP_1 i zostało to łącze odłączone, w związku z tym Ping, który szedł na adres 8.8.8.8 przestał odpowiadać i po odczekaniu odpowiednio timeoutów i Pingu przestało to łączę być oznaczone jako działające i jednocześnie została przełączona w związku z tym trasa alternatywna. Mimo, że jej trasa jest distance 2 czyli jest mniej korzystna, to jest obecnie aktywna dlatego, że nasze sprawdzenie dostępności zadziałało. Na dzisiaj to tyle, dziękuję za uwagę i do zobaczenia już za tydzień.