Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
www.spw.ru
MULTIWAN НА ROUTEROSРЕАЛИЗАЦИЯ, ПРОБЛЕМЫ, РЕШЕНИЯ
Илья Князев 2015 2
Об авторе
● Илья Князев. Санкт-Петербург, Россия.● Mikrotik Certified Trainer [TR0309]● Другие сертификаты Mikrotik
– MTCNA
– MTCTCE
– MTCWE
– MTCUME
– MTCRE
– MTCINE
Илья Князев 2015 3
Зачем нужен MultiWAN?
● Для резервирования каналов.
● Для распределения нагрузки междунесколькими каналами передачи данных
Илья Князев 2015 4
Вариант реализации MultiWANActive/backup
● В этом случае трафик всегда направляется восновной канал, если он исправен.
● Если основной канал становитсянедоступным — трафик направляется врезервный канал, пока не будетвосстановлен основной.
Илья Князев 2015 5
Резервирование канала
Илья Князев 2015 6
Резервирование канала
● Для работы резервирования достаточноуказать разную дистанцию на маршрутах ивключить проверку доступности gateway.
● Если вы хотите проверять доступность нешлюза провайдера, а какого-то другогоадреса (например шлюза центральногоофиса), используйте recurcive-routing илииспользуйте скрипты.
Илья Князев 2015 7
Вариант реализации MultiWANWAN Load Balancing (WLB)
● Другие названия технологии Dual WAN, MultivWAN,Multihoming. Позволяет распределять трафикмежду двумя и более каналами, без использованиядополнительных протоколов маршрутизации,например BGP
● WLB распределяет трафик между несколькимиканалами основываясь на заданных соотношенияхнагрузки или правилах.
● WLB обеспечивает при этом резервированиеподключений.
Илья Князев 2015 8
WAN Load Balancing (WLB)
Илья Князев 2015 9
ECMP RoutingEqual cost multi-path routing
● Очень простой в реализации способбалансировки нагрузки.
● Для его реализации достаточно в маршрутеуказать несколько шлюзов. После чегомаршрутизатор начинает распределятьнагрузку между ними.
● Можно пропорционально распределитьканалы, указав один шлюз несколько раз
Илья Князев 2015 10
ECMP RoutingEqual cost multi-path routing
● На этом примере мы делим каналы 2/3 к 1/3
Илья Князев 2015 11
Policy Based Routing (PBR)
● По умолчанию маршрутизатор принимает решенийоб пересылке пакета, основываясь на адресеназначений, указанного в заголовке пакета.
● PBR позволяет определять куда будет отправленпакет, основываясь на других параметрах. Такихкак протокол, порт, адрес источника, маркировкисоединения и других.
● Например, используя эту технологию, вы можетеотправить VoIP трафик в один канал, а весьостальной трафик в другой.
Илья Князев 2015 12
Policy Based Routing (PBR)● Для использования PBR в RouterOS вы
должны создать правило в IP Firewall Mange,которое будет маркировать интересующиевас пакеты (Action=mark routing) и создать втаблице маршрутизации маршрут с этоймаркировкой.
● Например если вы хотите отправить весьWWW трафик на шлюз 1.1.1.1 вам надонабрать 2 команды:
Илья Князев 2015 13
Policy Based Routing (PBR)
● Таким образом для использования этой технологиинадо определиться каким образом вы будетераспределять трафик. Вариантами могут быть
– Распределение по службам и протоколам.
– Распределение по ip-адресам
– Распределение по соединениям (Per ConnectionClassifier).
– Распределение по времени суток.
– Любые другие варианты, которые вы сможете описать вправиле mangle.
Илья Князев 2015 14
NAT (Network Address Translation)
● П р и м е н я е т с я в т о м ч и с л е п р инеобходимости преобразования внутреннихадресов к внешним.
● Часто вступает в конфликт с MultiWAN, такк а к в н е ш н и й а д р е с п а к е т а м о ж е тнеожиданно для получателя меняться надругой.
● К сожалению в большинстве случаевневозможно обойтись без этой технологии.
Илья Князев 2015 15
NAT (Network Address Translation)
Илья Князев 2015 16
NAT и MultiWAN
● Для корректной работы маршрутизации,необходимо, чтобы пакеты, которые пришлиснаружи на конкретный интерфейс, былиотправлены назад с того же интерфейса.
● Маркируйте пакеты в цепочках prerouting и output
● Не забывайте про цепочку output.
● Если вы используете VPN с указанием Source-address, не забудьте создать соответствующееправило в mangle output
Илья Князев 2015 17
Типовые правила mangle при NATдля каждого WAN-интерфейса
● Маркируйте входящее подключениеconnection-mark в цепочке prerouting
● На основании connection-mark маркируйтемаршрут в цепочках prerouting и output
Илья Князев 2015 18
Общая стратегия настройки
● Определитесь с режимом работы(Active/Backup) или WLB
● Определитесь с алгоритмом распределениянагрузки на каналы.
● Создайте соответсвующие маршруты иправила в IP Firewall Mangle
● Используйте открытые DNS или явнопропишите маршруты к DNS оператора.
Илья Князев 2015 19
На что еще обратить внимание
● Е с л и м а р ш р у т в и м е н о в а н н о й т а бл и ц емаршрутизации недоступен, пакет будет отправленчерез основную таблицу маршрутизации.
● Если у вас возникает проблема с одним изканалов, то маршрутизатор будет пытатьсяотправить пакет через другой канал.
● Если у вас на обоих WAN-интерфейсах одна и таже подсеть и один и тот же шлюз, можно указать вшлюзе имя интерфейса через знак %. Например1.1.1.1%WAN1
Илья Князев 2015 20
WLB и динамические адреса
● Представьте себе, что ваш маршрутизаторподключен к двум провайдерам.
● Оба провайдера назначают вам адреса попротоколу DHCP.
● Вы хотите настроить Wan Load Balancing
Илья Князев 2015 21
Схема сети
Илья Князев 2015 22
Проблемы конфигурации:
● Мы не можем создать маршрут, в том числемаршрут с маркировкой, потому что мы незнаем адрес шлюза, который назначаетсядинамически.
● В свойствах DHCP-клиента можно указатьтолько дистанцию для маршрута поумолчанию.
● Возможна ситуация когда оба провайдераотдадут вам один и тот же адрес и один и тотже шлюз.
Илья Князев 2015 23
Простое решение
● Использовать второй маршрутизатор. Еслив а ш м а р ш р у т и з ат о р п од д е р ж и в а етmetarouter, то можно использовать его. Тогдавы можете создать статический маршрутмежду ними и использовать маркировку дляпакетов идущих на него.
Илья Князев 2015 24
В чем преимущества инедостатки?
● Достаточно простое в настройке решение.
● Имеет следующие недостатки:
– Не все оборудование поддерживает Metarouter
– Если вы используете metarouter — он тожепотребляет ресурсы маршрутизатора
– Если вы покупаете второй маршрутизатор — вытратите деньги.
– Чем больше маршрутизаторов, тем сложнее ихобслуживать.
Илья Князев 2015 25
Более сложное решение
● Использовать Virtual Routing and Forwarding(VRF)
● VRF использует PBR (Policy Based Routing)● Можно создать несколько независимых
именованных таблиц маршрутизации наодном и том же роутере..
● VRF решает проблему одинаковых подсетей,т а к к а к т а б л и ц ы м а р ш р у т и з а ц и инезависимы.
Илья Князев 2015 26
Пример такого решения
● Есть два провайдера, предоставляющихдинамические адреса.
● Мы хотим направить трафик на хост 8.8.8.8через одного провайдера, а весь остальнойтрафик через другого.
Илья Князев 2015 27
Схема сети
Илья Князев 2015 28
Шаг 1
● Открываем меню /ip routes и создаем VRF,указав в качестве названия (routing mark)ISP2 и добавляем интерфейс на которыйподключен к этому провайдеру.
Илья Князев 2015 29
Шаг 1
● В таблице маршрутизации автоматическипоявились маршруты с маркировкой ISP2
Илья Князев 2015 30
Шаг 2
● Добавляем в Firewall правила mangle,которые будут маркировать маршрут mark-routing action
– Первое правило маркирует пакеты, которыедолжны быть отправлены через ISP2
– Второе правило «размаркировывает» входящиепакеты, чтобы они могли быть обработаныосновной таблицей маршрутизации.
Илья Князев 2015 31
Как это работает ?
Илья Князев 2015 32
Резервирование канала безсмены адресов
● Может потребоваться для доступа к вашимслужбам из Интернет.
● Требует неизменности вашего адреса.
● У вас есть два варианта решения этойзадачи
– Покупка AS (Autonomus System) и настройкаBGP
– Установка дополнительного маршрутизатора вдатацентре с высоким уровнем доступности,построением VPN до него и балансировкинагрузки между VPN-соединениями
Илья Князев 2015 33
Спасибо за внимание
● Я всегда готов ответить на ваши вопросы.
● Вы можете связаться со мной:
– Web: http://spw.ru
– E-mai:l [email protected]
– Skype: Ilya.Knyazev