Backup konektivity

[zvukarmiso]

Zdravim Vás. Riesim nasledovný problém

Mám od dvoch dodávatelov pripojenie internetu 2x ISP
Kázdý mi ide do hlavného routra, primarny je linux a sekundárny je Mikrotik
Z oboch routrov mi to ide do jedneho hlavného cisco switcha
Port 1 je primary
Port 2 je secundary

na switchy je vsetko odvlanované a všetko smeruje na port 1

Kód: Vybrat vše

vlan 11 802.1q 1/1 "TAG PORT 1/1 VLAN 11"
vlan 12 802.1q 1/1 "TAG PORT 1/1 VLAN 12"
vlan 15 802.1q 1/1 "TAG PORT 1/1 VLAN 15"


Zaujimalo by ma ako by sa dalo vyriesit ak vypadne router1 ze nabhene router2 a ako spravit aby vlany isli do portu2
Viem ze sa to nejak da cez BGP ale moje znalsoti su troska okliestene ohladom tejto konfiguracie. Viete mi poradit, alebo nejak ma usmernit ako na to ?

[Majklik]

Obávám se, že je to kapánek zmateně popsáno, že málokdo bude tušit, jak to máš zapojeno.
To jako ty dva ISP jsou také strčeni do toho Cisca, hodíš je do VLAN (např 11 a 12) a na portu 1 je hlavní linux router, který z toho routuje do té vlan 15?
A chceš mít zálohu toho na portu 2?
Jedno možné řešení je, že ty VLANy jsou současně i na portu 2 a hlavní router s Mikrotikem se domlouvají pomocí VRRP, kdo co obsluhuje.
BGP by do toho mohlo jít zamotat také. Otázka je, zda si dokážeš s oběma ISP domluvit BGP peering aspoň nad privátním AS.
Jen nevím, v jakém stavu je démonek vrrpd v linuxu, zda bez problému se domluví proti VRRP implementaci v Mikrotiku. Kdysi se to dalo, linuxový uměl klasické VRRPv2, které v ROSu jakž tak funguje (od 6.3 je slíbena opět stopro funkčnost). Dva Mikrotiky se mezi takto proti sobě použít dají v pohodě (nyní tedy s VRRPv3).

[zvukarmiso]

Upresnim

Eth1 a Eth2 nie su v ziadnej Vlane
Zariadenia co su na tom switchy su vo Vlanach

Kód: Vybrat vše

vlan 11 port default 1/13
vlan 11 port default 1/14
vlan 12 port default 1/5


Tieto vlany smeruju na port eth1

Neda sa BGP spravit len localne ? aby dotoho nemusel tahat ISP ?

[Majklik]

Jistě, BGP jde provozovat i lokálně bez spolupráce s okolím, větší sítě to používají, stejně tak jde použít i řada jiných věcí...
Ale stále není jasné čeho chceš vlastně dosáhnout a jak to máš zapojené.....
Protože pokud máš obě konektivity přivedeny jen do hlavního routeru, tak při jeho chcípnutí ten záložní mikrotik nemá co routovat, maximálně nějaké lokální segmenty mezi sebou, které jsou asi připojené na ty další porty toho switche....

[zvukarmiso]

Vidim ze sa nechapeme

Názorne vysvetlim

Prvy ISP ide do linuxuvej masiny a ta je ako router (eth0) a eth1 je localna siet za natom a to ide do switchu na port 1.
Druhy ISP ide do mikrotikovej masiny a ta je ako router (eth1) a eth2 je localna siet za natom a to ide do switchu na port 2.

Potom na switchy su Vlany kde su jednotlive anteny a servery v roznych Vlanach

Ja potrebujem ked vypadne router1 alebo vypadne na nom konektivita aby sa to preplo na router 2, na swtichy sa povie ze vsetko pojde na eth2

Router1 a Router2 maju localne IP rovnake akurat verejne IP su rozdielne (proste ako keby si mal 2 mikrotiky naklonovane len od ISP ti ide na kazdy router ina verejna IP)

Dufam ze som to uz vysvetlil jasne

[Majklik]

Nu, odpověď je pořád stejná, použij VRRP.

Oba porty 1 a 2 na switchi připoj na ty stejné VLANy, ať MK i linux vidí všechno stejně. A IP adresa, co je pro ty ostatní krámy připojené do toho switche, jako brána se dá na starost VRRP a ten ji bude držet na tom routeru, co pojede (a bude mít vyšší prioritu).
Aby ti to reagovalo i na výpadke linky, tak v linuxu si pustíš skriptík pingající někam do netu a při nedostupnosti ti sejme vrrp proces a převezme to tím pádem MKčko. Na MKčko stejné uděláš třeba pomocí netwatch.
Pokud máš vác VLAN a víc lokálních segmentů, tak VRRP se pouští pro každý IP segment zvlášť. Tím pak můžeš udělat i statické rozělení zátěže na obě linky, kdy část VLAN použivá ISP1 a druhá půlka ISP2 a když jedno z toho chcípne, tak vše jede přes toho živého.
Leta prověřená a používaná technika.
Jen nevím, jak je na tom podpora VRR do linuxu teď, používla jsem naposledy tka před deseti lety...

Kdyby jsi měl jen dvě MKčka, řekněme ether1 by byl lan segment 192.168.1.0/24, brána na něm 192.168.1.254,
potom druhá síť by byla nad ether1 VLAN2 192.168.2.0/24, brána na něm 192.168.2.254,
s tím, že síť 192.168.1.0/24 jde ven normálně přes RB1 a VLAN2 síť přes RB2,
testovací IP v internetu 1.1.1.1, tak by to mohlo vypadat takto:

Kód: Vybrat vše

RB1:
/interface vlan add name=vlan2 interface=ether1 vlan-id=2
/interface vrrp add name=vrrp1 interface=ether1 priority=100 vrid=1 version=2 preemption-mode=yes
/interface vrrp add name=vrrp2 interface=vlan2 priority=75 vrid=1 version=2 preemption-mode=yes
/ip address add interface=ether1 address=192.168.1.251/24
/ip address add interface=vrrp1 address=192.168.1.254/32
/ip address add interface=vlan2 address=192.168.2.251/24
/ip address add interface=vrrp2 address=192.168.2.254/32
/tool netwatch
 add host=1.1.1.1 interval=2s timeout=500ms
 down-script="/interface vrrp set [ find name=\"vrrp1\" ] priority=50; /interface vrrp set [ find name=\"vrrp2\" ] priority=25"
 up-script="/interface vrrp set [ find name=\"vrrp1\" ] priority=100; /interface vrrp set [ find name=\"vrrp2\" ] priority=75"

RB2:
/interface vlan add name=vlan2 interface=ether1 vlan-id=2
/interface vrrp add name=vrrp1 interface=ether1 priority=75 vrid=1 version=2 preemption-mode=yes
/interface vrrp add name=vrrp2 interface=vlan2 priority=100 vrid=1 version=2 preemption-mode=yes
/ip address add interface=ether1 address=192.168.1.252/24
/ip address add interface=vrrp1 address=192.168.1.254/32
/ip address add interface=vlan2 address=192.168.2.252/24
/ip address add interface=vrrp2 address=192.168.2.254/32
/tool netwatch
 add host=1.1.1.1 interval=2s timeout=500ms
 down-script="/interface vrrp set [ find name=\"vrrp1\" ] priority=25; /interface vrrp set [ find name=\"vrrp2\" ] priority=50"
 up-script="/interface vrrp set [ find name=\"vrrp1\" ] priority=75; /interface vrrp set [ find name=\"vrrp2\" ] priority=100"


Místo 1.1.1.1 je třeba si zvolit vhodnou IP, co pojede vždy, či-li nejlépe něco anycastového. Neřeknu, co používám.
Ekvivalentní přepis RB1 do linuxu si musíš naskriptovat. Živoucí vypadá VRRP projekt zde: http://sourceforge.net/projects/vrrpd/
Já před 10 lety používal toto (ale jen linuxy mezi sebou): http://off.net/~jme/vrrpd/