Отказоустойчивая филиальная сеть

Когда у компании появляется более 1 офиса, возникает вопрос как их связать в единую филиальную сеть и получить отказоустойчивость.

Заказав настройку MikroTik, вы получите 100% проработанное решение от опытного сетевого инженера.

Когда дополнительных офисов пару штук, можно сделать туннельный IPsec, на котором не получится получить отказоустойчивость на двух операторах и контроль маршрутизации. По этому на помощь приходят такие протоколы, как L2TP IPsec, SSTP, GRE, IPIP IPsec и самое главное OSPF.

В данной статье будет только описание принципа настройки а абстрактными примерами и бэст-практик, так как для всех компаний этот момент строго индивидуальный.

К тому же всегда можно написать мне для просчета стоимости данного решения.

Что такое отказоустойчивость

Когда сеть может работать при отказе одного из маршрутизаторов или каналов связи, а время сходимости для использования новых маршрутов не превышает 40 секунд (стандартное время обнаружения неисправности и схождения OSPF но новым каналам).

Выбор оборудования

Новое оборудование имеет смысл брать на RouterOS 7, так как в конечном итоге все равно придется обновляться с 6 на 7 версию.

Так же для разделения функций туннелирования с маршрутизаций и выходом в интернет — для туннелей нужно брать 2 устройства. Это может быть как RB4011, так и RB5009, для большого объема трафика идет серия CCR, например CCR2004 или CCR2116 и CCR2216.

А чтобы не покупать все это оборудование, можно использовать CHR Cloud Hosted Router который обходится практически бесплатно, если не нужны обновления. Либо $45 за 1Гбит порт или $95 за 10Гбит. Это позволит масштабировать выделяемую мощность путем добавления виртуальных процессоров на гипервизоре.

Часто вижу ошибки в выборе оборудования вида RB2011 и RB951 с доводами, что оно же продается по цене чуть ниже RB4011, а значит не значительно слабее. Почитайте про устаревшее оборудование.

Центральный офис

При наличии серверов с виртуализацией — установка 2 CHR с заведением раздельно провайдера 1 и провайдера 2. У операторов нужно запросить дополнительные IP адреса чтобы их завести на CHR и принимать входящие туннельные подключения. Виртуализация может быть как Proxmox, так и VMware с Hyper-V или VirtualBOX

Не забудьте про коммутатор Stack/MLAG, который в случае отказа одного из коммутаторов продолжит работать.

ЦОД

Если имеется стойка в ЦОДе, правильнее будет ставить виртуальный CHR и физический CCR для получения отказоустойчивости в случае отказа серверов или CCR. Здесь так же нужно пару коммутаторов Stack/MLAG.

Точки обмена

Когда образуется обширная филиальная сеть, гонять трафик из офиса Владивостока в Москву становится тяжелой задачей, которая решается местными точками обмена, которые видят Москву по более жирному каналу, тем самым связь с офисами не флапает.

Оборудование аналогично ЦОДу, за исключением использования CHR, так как обычно для точек обмена арендуется только 2 юнита в стойке.

Филиалы

Для филиалов, если там не много трафика, подойдет вариант с hAP AC2 (как бы это не звучало, но он спокойно вывозит много соединений) либо более старшая замена hAP AX2 или стоечные варианты RB3011 и RB4011.

Если отказ оборудования критичен — можно использовать дополнительное питание по PoE, либо установить 2 маршрутизатора в режиме VRRP для двух операторов.

Подключение операторов

Необходимо выбрать тройку федеральных операторов, которые могут предоставлять L2 и имеют свои магистральные каналы между городами.

Схема работы, переключения и отказоустойчивости

Филиальная VPN сеть
Видно провал верхнего маршрутизатора, весь трафик перетек на второй маршрутизатор, затем после восстановления линии связи, трафик вернулся на прежние значения.