Mikro Data Center w 7 krokach – cz. 4 (konfiguracja Mikrotik)
VRRP (ang. the Virtual Router Redundancy Protocol) będzie moim dzisiejszym tematem. Zastosuję go w tworzonym przeze mnie od jakiegoś czasu mikro data center.
Instrukcję w formie video obejrzysz tutaj 🙂
Topologia sieci
Od strony zewnętrznej mam już nałożony OSPF, który zarządza dwoma routerami i to rozwiązanie jest dla mnie wystarczające, nie potrzebuję tutaj dodatkowej wirtualizacji IP.
Natomiast od strony wewnętrznej (w DMZ oraz w strefie wewnętrznej) chcę zastosować właśnie VRRP tak, aby serwery w nich umieszczone mogły wychodzić do Internetu, nawet w przypadku awarii jednego z routerów brzegowych.
Konfiguracja interfejsu VRRP
Konfiguracji dokonuję na mikrotiku, wybierając z lewego menu Interfaces i zakładkę VRRP.
Jako pierwszego skonfiguruję Mt1-DC-DMZ.
Nadaję mu nazwę, wybieram interfejs eth2. Zgodnie z założeniem priority ustawiam tutaj na 200.
Opcja „Preemption Mode” zostaje odznaczona. Jest to opcja zalecana jako standardowa.
Dlaczego? Tutaj dodam kilka słów wyjaśnienia o różnicy, jaką daje włączenie/wyłączenie tego trybu.
Opcja Preemption Mode – tak czy nie?
Naszą sytuację wyjściową przedstawia schemat po lewej stronie – mamy Mastera oraz Backup. W przypadku awarii Mastera następuje automatyczne przełączenie i mamy sytuację taką, jak na schemacie po prawej stronie.
Co w przypadku powrotu dostępności routera, który pierwotnie był Masterem (wyższe priority)? Tu znaczenie ma wybór lub nie trybu „Preemption Mode”.
Jeśli wskazany był tryb Preemption Mode, po powrocie routera nastąpi przełączenie funkcji Mastera do stanu pierwotnego – rolę tą otrzyma router z wyższym priority.
Jeśli tryb Preemption Mode nie był wybrany, masterem pozostanie router, który obecnie ma taki status. Zysk, jaki tu niewątpliwie występuje, to minimalizacji ilości przełączeń.
Oczywiście są sytuacje, gdy ta ilość przełączeń jest dla nas kwestią wtórną. Ważniejszy może być fakt preferowania którejś ze ścieżek. Stąd opcja wyboru – w jakim trybie ma działać dana sieć.
Ja tym razem wybieram opcję zalecaną jako standard, czyli rezygnuję z Preemption Mode i odznaczam ten checkbox.
Kolejnym elementem jest autoryzacja. Wymuszenie jej nie tyle poprawia bezpieczeństwo jako takie, ile chroni przed „przypadkowym”, bardziej nieświadomym dołączeniem jakiegoś innego routera VRRP z innym priorytetem, które poskutkowałoby niezaplanowanym przełączeniem.
Ja wybiorę sobie tutaj uwierzytelnienie „ah” w wersji drugiej.
Analogicznie postępuje dla drugiego mikrotika z tej pary – Mt2-DC-DMZ.
Tutaj jednak priorytet ustalam na 100, bo ten router ma być moim backupem.
Dokładnie te same kroki przeprowadzam dla drugiej pary mikrhtików – MT3-DC oraz MT4-DC, wskazując odpowiednio priority 200 (dla MT3-DC) oraz 100 (dla MT4-DC).
Dodanie adresacji IP VRRP
Adresy dodaję zgodnie z planem, który przedstawiłem na początku artykułu – 10.140.0.254/24 dla pary MT1-DC-DMZ i MT2-DC-DMZ.
Natomiast druga para routerów: MT3-DC i MT4-DC otrzyma adresację 10.140.1.254/24.
Sprawdzenie działania – pingowanie
Po zestawieniu VRRP sprawdzę, jak działa połączenie. W tym celu zapinguję z mojego serwera LINUX do VPC11.
Kiedy mamy potwierdzenie, że wszystko działa prawidłowo i pakiety są przesyłane zgodnie z naszą wyjściową topologią, przejdę do symulacji awarii routerów – masterów.
Testowanie działania VRRP
Sprawdzę tutaj dwa przypadki. Pierwszy z nich to wyłączenie routera, który pełni funkcję mastera. Czy wszystko zadziała prawidłowo i nastąpi przełączenie na router zapasowy. Jak wiele pakietów utracę?
W kolejnym kroku sprawdzę, jak zachowa się moja sieć w przypadku powrotu routera pierwotnego z wyższym priority?
Dla lepszego widoku zachowania sieci uruchomię pingowanie w trybie ciągłym.
Sytuacja wyjściowa: MT3-DC to master, MT4-DC to backup.
Następnie wyłączam router MT3-DC i następuje prawidłowe przełączenie MT4-DC do roli mastera.
Czas jest na tyle krótki, że nie tracę przy tym żadnych pakietów.
A jak zachowa się moja sieć przy przywróceniu MT3-DC?
Podkreślam, że jesteśmy przy wyłączonym trybie Preemption Mode.
Co się zatem zadziewa?
Żadne pakiety nie zostały utracone.
Podobny test przeprowadziłem na drugiej parze routerów – MT1-DC-DMZ oraz MT2-DC-DMZ.
Tu również zadziałało wszystko prawidłowo.
To wszystko, co chciałem dziś zaprezentować. Jeśli jesteś zainteresowany drugim testem (pary MT1-DC-DMZ oraz MT2-DC-DMZ) lub po prostu chciałbyś obejrzeć jak krok po kroku przebiegała ta konfiguracja na każdym z mikrotików – zapraszam do filmy na You Tube 22T48 7 Kroków Utworzenia Mikro Data Center [konfiguracja Mikrotik] cz.4.
Jednocześnie daję znać, że ostatnio nagrałem także podkast na temat 22T48 VXLAN i GENEVE – Sieci Nakładkowe [Podkast], także zachęcam do wysłuchania tych z kolei, których interesuje to zagadnienie.