VRRP bridge VLAN немного вопросов

[sharik987]

Здравствуйте.
Прошу пояснить мне немного.
В главном офисе поставил два микротика, на каждый завел свой ISP. Наcтроил VRRP между ними, являются у друг дружки Бэкапами. Но пока не проверялось всю эту систему. У меня вопрос по поводу VRRP и VLAN с бриджами.

На микротиках есть Бридж, на который назначен адрес 192.168.10.1 (не на интерфейс), а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце в адресациях.... .2

1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24?

2. VRRP интерфейс необходимо создавать на Бридже в моём случае?

3. На Влан интерфейс(который висит на бридже) так же необходимо создавать VRRP что бы все нормально работало после переключения?

[Chupaka]

Доброго.

Пока не совсем понял схему. VLAN 100 - он на каком интерфейсе висит? Какая у него функциональность? На VRRP какие адреса?

1. Вполне, если на каждом вилане настроен свой VRRP. Как вариант - виланы на VRRP, тогда они будут включаться-выключаться вместе с VRRP.

2. Похоже на то, но нужна информация, упомянутая выше

3. См. 1, видимо

[sharik987]

Собственно сделал.
VLAN 100 висит на БРИДЖЕ, а так же на ЭТОМ ЖЕ бридже висят ether2, 3, ..8 , кроме ether1 на котором ISP. Всё на картинке показано. Правильно ли сделано? VRRP1 это микрот2 основной, а микрот1 бэкап.
теперь следующий вопрос как Быть с DHCP ? При том что микротик1 является сервером DHCP. Если Микротик1 вырубается, все переключаются на микротик2, но в нём он выключен, т.к. в сети будет образовываться два сервера DHCP, что не есть хорошо, даже с разными Пулами.

[Chupaka]

Vlan 100 висит НА бридже, а etherX не НА нём, а В нём Так, для правильности формулировок.

Зачем на каждом VLAN'е по два VRRP-интерфейса?

Почему два сервера DHCP - не есть нехорошо? Система DHCP изначально рассчитана на работу нескольких серверов, даже с одним пулом. Клиент рассылает запрос "Кто тут DHCP?" - все сервера отвечают, и потом он уже у какого-нибудь из них запрашивает аренду. При этом общение широковещательное, поэтому, по идее, оба сервера будут знать о выданном адресе (насколько помню, MikroTik показывал мне лизы, выданные другим сервером клиентам).

[sharik987]

ОК, В НЁМ
Один VRRP_ХХХ = микрот1 мастер, микрот2 бэкап. VRRP_ХХХ-1= микрот1 бэкап, микрот2 мастер. Так же и на Вланах, что бы вланы работали в случае отключения одного из микротиков. Важное уточнение ДХЦП сервера все направленны на VLANы и на ETHERы, НЕ на VRRP интерфейсы. Куда их правильно направлять?
У меня нет возможности разделить пул, т.к. устройст больше чем 125, максками в большую сторону 24х не хочется играться. А как два сервера ДХЦП узнают кто кому какой адрес дал?

[Chupaka]

Один VRRP_ХХХ = микрот1 мастер, микрот2 бэкап. VRRP_ХХХ-1= микрот1 бэкап, микрот2 мастер.

Зачем? И какие адреса на них висят? Какой из них является шлюзом для клиентов?

Важное уточнение ДХЦП сервера все направленны на VLANы и на ETHERы, НЕ на VRRP интерфейсы. Куда их правильно направлять?

Если работает - то пусть так и работает.

У меня нет возможности разделить пул, т.к. устройст больше чем 125, максками в большую сторону 24х не хочется играться. А как два сервера ДХЦП узнают кто кому какой адрес дал?

Не надо его разделять. Сервер перед выдачей адреса должен и так проверять, не занят ли он. Плюс они из-за широковещательных пакетов "слышат", кто кому какой адрес выдаёт.

[sharik987]

Микрот1 в каждой сети 192.168.ХХХ.1, VRRP 192.168.ХХХ.254, VRRP_2 192.168.ХХХ.253
Микрот2 в каждом сети 192.168.ХХХ.2, VRRP 192.168.ХХХ.253, VRRP_2 192.168.ХХХ.254
Тем самым делю сеть, пользователям всем ХХХ.254, Другим к примеру видеонаблюдению 253 статикой прописываю. Из внешнего мира когда кто то что то смотрит, не забивает основной канал. В случае отвала одного из микротиков всё будет дальше работать.

Плюс они из-за широковещательных пакетов "слышат", кто кому какой адрес выдаёт.

Изучал у циски методику работы ДХЦП, и не помню о таком... Ну ок, проверю ))) Оно и лучше.
Вроде основное выяснил.
Еще, как сделать в VRRP переключения с мастера на бэкап в случае если к примеру пинг пропадет до 8.8.8.8 ?

[Chupaka]

У вас конфликт адресов так должен появиться. Не может у двух роутеров одновременно быть один и тот же адрес. На каждом роутере надо создавать по одному VRRP-интерфейсу, читайте документацию.

Переключение на бэкап можно сделать отключением мастер-интерфейса

[sharik987]

У вас конфликт адресов так должен появиться. Не может у двух роутеров одновременно быть один и тот же адрес. На каждом роутере надо создавать по одному VRRP-интерфейсу, читайте документацию.

Тут всё правильно сделано, уже проверял, всё работает. Меня смущало что всё в одном бридже делалось. По документации и делал.

Переключение на бэкап можно сделать отключением мастер-интерфейса

С помощью скриптов? нетвотчем? Или какие то другие, стандартные методы есть? Как я понял VRRP необходим только в том случае если отключается\ломается один из микротиков.

[Chupaka]

Да, сорри, с телефона недовы́читал, пропустил часть, где у камер другой шлюз

Если надо следить за пингом — логично использовать нетвотч. VRRP необходим для случаев, когда роутер становится недоступен (ломается, у него пропадает сеть, коммутатор в центре сети ломается, etc.)

[sharik987]

Сейчас провел тест, и оказывается не работает мой vrrp... https://spw.ru/educate/articles/primene ... outeros-2/ вот посмотрите тут.
Вот у них идет:
ether4
--VRRP
---VLAN1
---VLAN2
А у меня:
LOCAL (bridge)
--VRRP
---VLAN1
---VLAN2

[Chupaka]

Что там смотреть? Там ваши результаты и ваша диагностика?

И на физическом интерфейсе, и на бридже должно работать. Что именно у вас не работает? Телепатов нет.

И, насколько вижу по предыдущим постам, у вас не виланы на VRRP, а VRRP на VLAN'ах. Вы изменили схему, не предупредив, или ошиблись при написании предыдущего поста?

[sharik987]

ВСё вроде заработало, сделал так:

Код: Выделить всё

/interface bridge port
add bridge=LOCAL interface=ether2
add bridge=LOCAL hw=no interface=sfp1
add bridge=LOCAL hw=no interface=ether3
add bridge=LOCAL interface=ether4
add bridge=LOCAL interface=ether5 pvid=10
add bridge=LOCAL interface=ether6 pvid=10 trusted=yes
add bridge=LOCAL interface=ether7 pvid=10 trusted=yes
add bridge=LOCAL interface=ether8 pvid=24 trusted=yes
add bridge=LOCAL interface=ether9 pvid=24 trusted=yes
add bridge=LOCAL interface=ether10 pvid=20 trusted=yes


/interface bridge vlan
add bridge=LOCAL tagged=ether5,ether4 untagged=ether6,ether7 vlan-ids=10
add bridge=LOCAL tagged=ether5,ether4 untagged=ether8,ether9 vlan-ids=24
add bridge=LOCAL tagged=ether5,ether4 untagged=ether10 vlan-ids=20
add bridge=LOCAL tagged=ether5,ether4 vlan-ids=30
add bridge=LOCAL untagged=LOCAL vlan-ids=1

/ip firewall nat
add action=masquerade chain=srcnat comment="Nat VLAN-ALL" out-interface-list=VLAN-ALL

И галочку включил в бридже "Фильтр Влан". А то что вариант с созданием нескольких бриджей, под каждый влан у меня тоже заработал, но какой то вариант не очень. как то некрасиво получается.
Теперь вопрос, хочу включить hw=yes , на RB2011 как эта функция будет работать? Уточнение, в бридже находятся все порты кроме SFP и ether1.

[Chupaka]

Говорят, hw=yes работает только при выключенном VLAN FIltering, к сожалению.

[sharik987]

А так же нашел своего недопонимания в VRRP. http://papa-admin.ru/mikrotik/138-2routers.html Вот тут товарищ делает точно такое же что и я хочу, всё у меня сделано как у него, кроме одного НО. У него VRRP для сети VLAN30 мастером является R2 , а для VLAN20 мастером является R1.
Я же хотел сделать следующее:
В интерфейсе vlan10 есть два мастера R1 и R2, с адресами 10.254 и 10.253. И я мог бы на R1 включить DHCP, и раздавать всем шлюз R1 10.254, а некоторым Устройствам статикой назначить шлюз R2 10.253. Тем самым в каждой сети, у меня была возможность задействовать два Интернет канала. И так для каждого VLANа. И тут проблема у меня возникла.
Было бы всё нормально если бы не другие филиалы. OSPF в таких случаях не работает, когда Устройство выходит через R2, а R1 является главным по СOST. В этом вся проблема.

[Chupaka]

Согласен, сложновато объяснить OSPF, что кое-какие (неизвестно, какие) адреса из одной и той же подсети должны ходить не через тот же некстхоп, что остальные...

[sharik987]

Спасибо Вам!!!

[Chupaka]

Собственно, если вы и так выделяете устройствам отдельные шлюзы - ничто не мешает выделить им отдельные адреса. Сделать две разные подсети для разных типов устройств - и их уже анонсировать в OSPF. Вдруг сработает