VRRP bridge VLAN немного вопросов

RIP, OSFP, BGP, MPLS/VPLS
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

Здравствуйте.
Прошу пояснить мне немного.
В главном офисе поставил два микротика, на каждый завел свой ISP. Наcтроил VRRP между ними, являются у друг дружки Бэкапами. Но пока не проверялось всю эту систему. У меня вопрос по поводу VRRP и VLAN с бриджами.

На микротиках есть Бридж, на который назначен адрес 192.168.10.1 (не на интерфейс), а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце в адресациях.... .2

1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24?

2. VRRP интерфейс необходимо создавать на Бридже в моём случае?

3. На Влан интерфейс(который висит на бридже) так же необходимо создавать VRRP что бы все нормально работало после переключения?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

Доброго.

Пока не совсем понял схему. VLAN 100 - он на каком интерфейсе висит? Какая у него функциональность? На VRRP какие адреса?

1. Вполне, если на каждом вилане настроен свой VRRP. Как вариант - виланы на VRRP, тогда они будут включаться-выключаться вместе с VRRP.

2. Похоже на то, но нужна информация, упомянутая выше :)

3. См. 1, видимо :)
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

Собственно сделал.
VLAN 100 висит на БРИДЖЕ, а так же на ЭТОМ ЖЕ бридже висят ether2, 3, ..8 , кроме ether1 на котором ISP. Всё на картинке показано. Правильно ли сделано? VRRP1 это микрот2 основной, а микрот1 бэкап.
теперь следующий вопрос как Быть с DHCP ? При том что микротик1 является сервером DHCP. Если Микротик1 вырубается, все переключаются на микротик2, но в нём он выключен, т.к. в сети будет образовываться два сервера DHCP, что не есть хорошо, даже с разными Пулами.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

Vlan 100 висит НА бридже, а etherX не НА нём, а В нём :) Так, для правильности формулировок.

Зачем на каждом VLAN'е по два VRRP-интерфейса?

Почему два сервера DHCP - не есть нехорошо? Система DHCP изначально рассчитана на работу нескольких серверов, даже с одним пулом. Клиент рассылает запрос "Кто тут DHCP?" - все сервера отвечают, и потом он уже у какого-нибудь из них запрашивает аренду. При этом общение широковещательное, поэтому, по идее, оба сервера будут знать о выданном адресе (насколько помню, MikroTik показывал мне лизы, выданные другим сервером клиентам).
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

ОК, В НЁМ :)
Один VRRP_ХХХ = микрот1 мастер, микрот2 бэкап. VRRP_ХХХ-1= микрот1 бэкап, микрот2 мастер. Так же и на Вланах, что бы вланы работали в случае отключения одного из микротиков. Важное уточнение ДХЦП сервера все направленны на VLANы и на ETHERы, НЕ на VRRP интерфейсы. Куда их правильно направлять?
У меня нет возможности разделить пул, т.к. устройст больше чем 125, максками в большую сторону 24х не хочется играться. А как два сервера ДХЦП узнают кто кому какой адрес дал?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

sharik987 писал(а): 28 сен 2018, 14:28 Один VRRP_ХХХ = микрот1 мастер, микрот2 бэкап. VRRP_ХХХ-1= микрот1 бэкап, микрот2 мастер.
Зачем? И какие адреса на них висят? Какой из них является шлюзом для клиентов?
sharik987 писал(а): 28 сен 2018, 14:28 Важное уточнение ДХЦП сервера все направленны на VLANы и на ETHERы, НЕ на VRRP интерфейсы. Куда их правильно направлять?
Если работает - то пусть так и работает.
sharik987 писал(а): 28 сен 2018, 14:28 У меня нет возможности разделить пул, т.к. устройст больше чем 125, максками в большую сторону 24х не хочется играться. А как два сервера ДХЦП узнают кто кому какой адрес дал?
Не надо его разделять. Сервер перед выдачей адреса должен и так проверять, не занят ли он. Плюс они из-за широковещательных пакетов "слышат", кто кому какой адрес выдаёт.
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

Микрот1 в каждой сети 192.168.ХХХ.1, VRRP 192.168.ХХХ.254, VRRP_2 192.168.ХХХ.253
Микрот2 в каждом сети 192.168.ХХХ.2, VRRP 192.168.ХХХ.253, VRRP_2 192.168.ХХХ.254
Тем самым делю сеть, пользователям всем ХХХ.254, Другим к примеру видеонаблюдению 253 статикой прописываю. Из внешнего мира когда кто то что то смотрит, не забивает основной канал. В случае отвала одного из микротиков всё будет дальше работать.
Chupaka писал(а): 28 сен 2018, 15:00 Плюс они из-за широковещательных пакетов "слышат", кто кому какой адрес выдаёт.
Изучал у циски методику работы ДХЦП, и не помню о таком... Ну ок, проверю ))) Оно и лучше.
Вроде основное выяснил.
Еще, как сделать в VRRP переключения с мастера на бэкап в случае если к примеру пинг пропадет до 8.8.8.8 ?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

У вас конфликт адресов так должен появиться. Не может у двух роутеров одновременно быть один и тот же адрес. На каждом роутере надо создавать по одному VRRP-интерфейсу, читайте документацию.

Переключение на бэкап можно сделать отключением мастер-интерфейса :)
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

Chupaka писал(а): 28 сен 2018, 19:00 У вас конфликт адресов так должен появиться. Не может у двух роутеров одновременно быть один и тот же адрес. На каждом роутере надо создавать по одному VRRP-интерфейсу, читайте документацию.
Тут всё правильно сделано, уже проверял, всё работает. Меня смущало что всё в одном бридже делалось. По документации и делал.
Chupaka писал(а): 28 сен 2018, 19:00 Переключение на бэкап можно сделать отключением мастер-интерфейса
С помощью скриптов? нетвотчем? Или какие то другие, стандартные методы есть? Как я понял VRRP необходим только в том случае если отключается\ломается один из микротиков.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

Да, сорри, с телефона недовы́читал, пропустил часть, где у камер другой шлюз :)

Если надо следить за пингом — логично использовать нетвотч. VRRP необходим для случаев, когда роутер становится недоступен (ломается, у него пропадает сеть, коммутатор в центре сети ломается, etc.)
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

Сейчас провел тест, и оказывается не работает мой vrrp... https://spw.ru/educate/articles/primene ... outeros-2/ вот посмотрите тут.
Вот у них идет:
ether4
--VRRP
---VLAN1
---VLAN2

А у меня:
LOCAL (bridge)
--VRRP
---VLAN1
---VLAN2
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

Что там смотреть? Там ваши результаты и ваша диагностика?

И на физическом интерфейсе, и на бридже должно работать. Что именно у вас не работает? Телепатов нет.

И, насколько вижу по предыдущим постам, у вас не виланы на VRRP, а VRRP на VLAN'ах. Вы изменили схему, не предупредив, или ошиблись при написании предыдущего поста?
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

ВСё вроде заработало, сделал так:

Код: Выделить всё

/interface bridge port
add bridge=LOCAL interface=ether2
add bridge=LOCAL hw=no interface=sfp1
add bridge=LOCAL hw=no interface=ether3
add bridge=LOCAL interface=ether4
add bridge=LOCAL interface=ether5 pvid=10
add bridge=LOCAL interface=ether6 pvid=10 trusted=yes
add bridge=LOCAL interface=ether7 pvid=10 trusted=yes
add bridge=LOCAL interface=ether8 pvid=24 trusted=yes
add bridge=LOCAL interface=ether9 pvid=24 trusted=yes
add bridge=LOCAL interface=ether10 pvid=20 trusted=yes


/interface bridge vlan
add bridge=LOCAL tagged=ether5,ether4 untagged=ether6,ether7 vlan-ids=10
add bridge=LOCAL tagged=ether5,ether4 untagged=ether8,ether9 vlan-ids=24
add bridge=LOCAL tagged=ether5,ether4 untagged=ether10 vlan-ids=20
add bridge=LOCAL tagged=ether5,ether4 vlan-ids=30
add bridge=LOCAL untagged=LOCAL vlan-ids=1

/ip firewall nat
add action=masquerade chain=srcnat comment="Nat VLAN-ALL" out-interface-list=VLAN-ALL
И галочку включил в бридже "Фильтр Влан". А то что вариант с созданием нескольких бриджей, под каждый влан у меня тоже заработал, но какой то вариант не очень. как то некрасиво получается.
Теперь вопрос, хочу включить hw=yes , на RB2011 как эта функция будет работать? Уточнение, в бридже находятся все порты кроме SFP и ether1.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

Говорят, hw=yes работает только при выключенном VLAN FIltering, к сожалению.
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

А так же нашел своего недопонимания в VRRP. http://papa-admin.ru/mikrotik/138-2routers.html Вот тут товарищ делает точно такое же что и я хочу, всё у меня сделано как у него, кроме одного НО. У него VRRP для сети VLAN30 мастером является R2 , а для VLAN20 мастером является R1.
Я же хотел сделать следующее:
В интерфейсе vlan10 есть два мастера R1 и R2, с адресами 10.254 и 10.253. И я мог бы на R1 включить DHCP, и раздавать всем шлюз R1 10.254, а некоторым Устройствам статикой назначить шлюз R2 10.253. Тем самым в каждой сети, у меня была возможность задействовать два Интернет канала. И так для каждого VLANа. И тут проблема у меня возникла.
Было бы всё нормально если бы не другие филиалы. OSPF в таких случаях не работает, когда Устройство выходит через R2, а R1 является главным по СOST. В этом вся проблема.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

Согласен, сложновато объяснить OSPF, что кое-какие (неизвестно, какие) адреса из одной и той же подсети должны ходить не через тот же некстхоп, что остальные...
sharik987
Сообщения: 41
Зарегистрирован: 03 сен 2018, 12:47

Re: VRRP bridge VLAN немного вопросов

Сообщение sharik987 »

Спасибо Вам!!!
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VRRP bridge VLAN немного вопросов

Сообщение Chupaka »

Собственно, если вы и так выделяете устройствам отдельные шлюзы - ничто не мешает выделить им отдельные адреса. Сделать две разные подсети для разных типов устройств - и их уже анонсировать в OSPF. Вдруг сработает :)