Когда у компании появляется более 1 офиса, возникает вопрос как их связать в единую филиальную сеть и получить отказоустойчивость.
Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik
Когда дополнительных офисов пару штук, можно сделать туннельный IPsec, на котором не получится получить отказоустойчивость на двух операторах и контроль маршрутизации. По этому на помощь приходят такие протоколы, как L2TP IPsec, SSTP, GRE, IPIP IPsec и самое главное OSPF.
В данной статье будет только описание принципа настройки а абстрактными примерами и бэст-практик, так как для всех компаний этот момент строго индивидуальный.
К тому же всегда можно написать мне для просчета стоимости данного решения.
Что такое отказоустойчивость
Когда сеть может работать при отказе одного из маршрутизаторов или каналов связи, а время сходимости для использования новых маршрутов не превышает 40 секунд (стандартное время обнаружения неисправности и схождения OSPF но новым каналам).
Выбор оборудования
Новое оборудование имеет смысл брать на RouterOS 7, так как в конечном итоге все равно придется обновляться с 6 на 7 версию.
Так же для разделения функций туннелирования с маршрутизаций и выходом в интернет — для туннелей нужно брать 2 устройства. Это может быть как RB4011, так и RB5009, для большого объема трафика идет серия CCR, например CCR2004 или CCR2116 и CCR2216.
А чтобы не покупать все это оборудование, можно использовать CHR Cloud Hosted Router который обходится практически бесплатно, если не нужны обновления. Либо $45 за 1Гбит порт или $95 за 10Гбит. Это позволит масштабировать выделяемую мощность путем добавления виртуальных процессоров на гипервизоре.
Часто вижу ошибки в выборе оборудования вида RB2011 и RB951 с доводами, что оно же продается по цене чуть ниже RB4011, а значит не значительно слабее. Почитайте про устаревшее оборудование.
Центральный офис
При наличии серверов с виртуализацией — установка 2 CHR с заведением раздельно провайдера 1 и провайдера 2. У операторов нужно запросить дополнительные IP адреса чтобы их завести на CHR и принимать входящие туннельные подключения. Виртуализация может быть как Proxmox, так и VMware с Hyper-V или VirtualBOX
Не забудьте про коммутатор Stack/MLAG, который в случае отказа одного из коммутаторов продолжит работать.
ЦОД
Если имеется стойка в ЦОДе, правильнее будет ставить виртуальный CHR и физический CCR для получения отказоустойчивости в случае отказа серверов или CCR. Здесь так же нужно пару коммутаторов Stack/MLAG.
Точки обмена
Когда образуется обширная филиальная сеть, гонять трафик из офиса Владивостока в Москву становится тяжелой задачей, которая решается местными точками обмена, которые видят Москву по более жирному каналу, тем самым связь с офисами не флапает.
Оборудование аналогично ЦОДу, за исключением использования CHR, так как обычно для точек обмена арендуется только 2 юнита в стойке.
Филиалы
Для филиалов, если там не много трафика, подойдет вариант с hAP AC2 (как бы это не звучало, но он спокойно вывозит много соединений) либо более старшая замена hAP AX2 или стоечные варианты RB3011 и RB4011.
Если отказ оборудования критичен — можно использовать дополнительное питание по PoE, либо установить 2 маршрутизатора в режиме VRRP для двух операторов.
Подключение операторов
Необходимо выбрать тройку федеральных операторов, которые могут предоставлять L2 и имеют свои магистральные каналы между городами.
Схема работы, переключения и отказоустойчивости
