Mikro Data Center w 7 krokach – cz. 4 (konfiguracja Mikrotik)

VRRP (ang. the Virtual Router Redundancy Protocol) będzie moim dzisiejszym tematem. Zastosuję go w tworzonym przeze mnie od jakiegoś czasu mikro data center.

Instrukcję w formie video obejrzysz tutaj 🙂

Topologia sieci

Od strony zewnętrznej mam już nałożony OSPF, który zarządza dwoma routerami i to rozwiązanie jest dla mnie wystarczające, nie potrzebuję tutaj dodatkowej wirtualizacji IP.
Natomiast od strony wewnętrznej (w DMZ oraz w strefie wewnętrznej) chcę zastosować właśnie VRRP tak, aby serwery w nich umieszczone mogły wychodzić do Internetu, nawet w przypadku awarii jednego z routerów brzegowych.

Plan VRRP w mojej sieci

Konfiguracja interfejsu VRRP

Konfiguracji dokonuję na mikrotiku, wybierając z lewego menu Interfaces i zakładkę VRRP.

Dodawanie nowego VRRP

Jako pierwszego skonfiguruję Mt1-DC-DMZ.

Nadaję mu nazwę, wybieram interfejs eth2. Zgodnie z założeniem priority ustawiam tutaj na 200.

MT1-DC-DMZ – konfiguracja interfejsu VRRP

Opcja „Preemption Mode” zostaje odznaczona. Jest to opcja zalecana jako standardowa.
Dlaczego? Tutaj dodam kilka słów wyjaśnienia o różnicy, jaką daje włączenie/wyłączenie tego trybu.

Opcja Preemption Mode – tak czy nie?

Naszą sytuację wyjściową przedstawia schemat po lewej stronie – mamy Mastera oraz Backup. W przypadku awarii Mastera następuje automatyczne przełączenie i mamy sytuację taką, jak na schemacie po prawej stronie.

VRRP – przed i po awarii jednego z routerów.

Co w przypadku powrotu dostępności routera, który pierwotnie był Masterem (wyższe priority)? Tu znaczenie ma wybór lub nie trybu „Preemption Mode”.

Zachowanie w zależności od wybranego trybu.

Jeśli wskazany był tryb Preemption Mode, po powrocie routera nastąpi przełączenie funkcji Mastera do stanu pierwotnego – rolę tą otrzyma router z wyższym priority.

Jeśli tryb Preemption Mode nie był wybrany, masterem pozostanie router, który obecnie ma taki status. Zysk, jaki tu niewątpliwie występuje, to minimalizacji ilości przełączeń.

Oczywiście są sytuacje, gdy ta ilość przełączeń jest dla nas kwestią wtórną. Ważniejszy może być fakt preferowania którejś ze ścieżek. Stąd opcja wyboru – w jakim trybie ma działać dana sieć.
Ja tym razem wybieram opcję zalecaną jako standard, czyli rezygnuję z Preemption Mode i odznaczam ten checkbox.

Kolejnym elementem jest autoryzacja. Wymuszenie jej nie tyle poprawia bezpieczeństwo jako takie, ile chroni przed „przypadkowym”, bardziej nieświadomym dołączeniem jakiegoś innego routera VRRP z innym priorytetem, które poskutkowałoby niezaplanowanym przełączeniem.

Ja wybiorę sobie tutaj uwierzytelnienie „ah” w wersji drugiej.

Wybrane opcje uwierzytelniania

Analogicznie postępuje dla drugiego mikrotika z tej pary – Mt2-DC-DMZ.
Tutaj jednak priorytet ustalam na 100, bo ten router ma być moim backupem.

MT2-DC-DMZ – konfiguracja interfejsu VRRP

Dokładnie te same kroki przeprowadzam dla drugiej pary mikrhtików – MT3-DC oraz MT4-DC, wskazując odpowiednio priority 200 (dla MT3-DC) oraz 100 (dla MT4-DC).

Dodanie adresacji IP VRRP

Dodawanie nowej adresacji IP

Adresy dodaję zgodnie z planem, który przedstawiłem na początku artykułu – 10.140.0.254/24 dla pary MT1-DC-DMZ i MT2-DC-DMZ.

MT1-DC-DMZ – adresacja IP
MT2-DC-DMZ – adresacja IP

Natomiast druga para routerów: MT3-DC i MT4-DC otrzyma adresację 10.140.1.254/24.

MT3-DC – adresacja IP
MT3-DC – adresacja IP

Sprawdzenie działania – pingowanie

Po zestawieniu VRRP sprawdzę, jak działa połączenie. W tym celu zapinguję z mojego serwera LINUX do VPC11.

Schemat sieci
Prawidłowe pingowanie

Kiedy mamy potwierdzenie, że wszystko działa prawidłowo i pakiety są przesyłane zgodnie z naszą wyjściową topologią, przejdę do symulacji awarii routerów – masterów.

Testowanie działania VRRP

Sprawdzę tutaj dwa przypadki. Pierwszy z nich to wyłączenie routera, który pełni funkcję mastera. Czy wszystko zadziała prawidłowo i nastąpi przełączenie na router zapasowy. Jak wiele pakietów utracę?

W kolejnym kroku sprawdzę, jak zachowa się moja sieć w przypadku powrotu routera pierwotnego z wyższym priority?

Dla lepszego widoku zachowania sieci uruchomię pingowanie w trybie ciągłym.

Ping ciągły

Sytuacja wyjściowa: MT3-DC to master, MT4-DC to backup.

Następnie wyłączam router MT3-DC i następuje prawidłowe przełączenie MT4-DC do roli mastera.
Czas jest na tyle krótki, że nie tracę przy tym żadnych pakietów.

MT3-DC jest nieaktywny
MT4-DC przejął rolę mastera
Brak utraconych pakietów

A jak zachowa się moja sieć przy przywróceniu MT3-DC?
Podkreślam, że jesteśmy przy wyłączonym trybie Preemption Mode.
Co się zatem zadziewa?

MT3-DC jest już aktywny
MT3-DC otrzymuje rolę backupu
MT4-DC zatrzymuje rolę mastera
Pingowanie w trybie ciągłym

Żadne pakiety nie zostały utracone.

Podobny test przeprowadziłem na drugiej parze routerów – MT1-DC-DMZ oraz MT2-DC-DMZ.
Tu również zadziałało wszystko prawidłowo.

To wszystko, co chciałem dziś zaprezentować. Jeśli jesteś zainteresowany drugim testem (pary MT1-DC-DMZ oraz MT2-DC-DMZ) lub po prostu chciałbyś obejrzeć jak krok po kroku przebiegała ta konfiguracja na każdym z mikrotików – zapraszam do filmy na You Tube 22T48 7 Kroków Utworzenia Mikro Data Center [konfiguracja Mikrotik] cz.4.

Jednocześnie daję znać, że ostatnio nagrałem także podkast na temat 22T48 VXLAN i GENEVE – Sieci Nakładkowe [Podkast], także zachęcam do wysłuchania tych z kolei, których interesuje to zagadnienie.


Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *