www.spw.ru

MULTIWAN НА ROUTEROSРЕАЛИЗАЦИЯ, ПРОБЛЕМЫ, РЕШЕНИЯ

Илья Князев 2015 2

Об авторе

● Илья Князев. Санкт-Петербург, Россия.● Mikrotik Certified Trainer [TR0309]● Другие сертификаты Mikrotik

– MTCNA

– MTCTCE

– MTCWE

– MTCUME

– MTCRE

– MTCINE

Илья Князев 2015 3

Зачем нужен MultiWAN?

● Для резервирования каналов.

● Для распределения нагрузки междунесколькими каналами передачи данных

Илья Князев 2015 4

Вариант реализации MultiWANActive/backup

● В этом случае трафик всегда направляется восновной канал, если он исправен.

● Если основной канал становитсянедоступным — трафик направляется врезервный канал, пока не будетвосстановлен основной.

Илья Князев 2015 5

Резервирование канала

Илья Князев 2015 6

Резервирование канала

● Для работы резервирования достаточноуказать разную дистанцию на маршрутах ивключить проверку доступности gateway.

● Если вы хотите проверять доступность нешлюза провайдера, а какого-то другогоадреса (например шлюза центральногоофиса), используйте recurcive-routing илииспользуйте скрипты.

Илья Князев 2015 7

   Вариант реализации MultiWANWAN Load Balancing (WLB)

● Другие названия технологии Dual WAN, MultivWAN,Multihoming. Позволяет распределять трафикмежду двумя и более каналами, без использованиядополнительных протоколов маршрутизации,например BGP

● WLB распределяет трафик между несколькимиканалами основываясь на заданных соотношенияхнагрузки или правилах.

● WLB обеспечивает при этом резервированиеподключений.

Илья Князев 2015 8

  WAN Load Balancing (WLB)

Илья Князев 2015 9

ECMP RoutingEqual cost multi-path routing

● Очень простой в реализации способбалансировки нагрузки.

● Для его реализации достаточно в маршрутеуказать несколько шлюзов. После чегомаршрутизатор начинает распределятьнагрузку между ними.

● Можно пропорционально распределитьканалы, указав один шлюз несколько раз

Илья Князев 2015 10

ECMP RoutingEqual cost multi-path routing

● На этом примере мы делим каналы 2/3 к 1/3

Илья Князев 2015 11

Policy Based Routing (PBR)

● По умолчанию маршрутизатор принимает решенийоб пересылке пакета, основываясь на адресеназначений, указанного в заголовке пакета.

● PBR позволяет определять куда будет отправленпакет, основываясь на других параметрах. Такихкак протокол, порт, адрес источника, маркировкисоединения и других.

● Например, используя эту технологию, вы можетеотправить VoIP трафик в один канал, а весьостальной трафик в другой.

Илья Князев 2015 12

Policy Based Routing (PBR)● Для использования PBR в RouterOS вы

должны создать правило в IP Firewall Mange,которое будет маркировать интересующиевас пакеты (Action=mark routing) и создать втаблице маршрутизации маршрут с этоймаркировкой.

● Например если вы хотите отправить весьWWW трафик на шлюз 1.1.1.1 вам надонабрать 2 команды:

Илья Князев 2015 13

Policy Based Routing (PBR)

● Таким образом для использования этой технологиинадо определиться каким образом вы будетераспределять трафик. Вариантами могут быть

– Распределение по службам и протоколам.

– Распределение по ip-адресам

– Распределение по соединениям (Per ConnectionClassifier).

– Распределение по времени суток.

– Любые другие варианты, которые вы сможете описать вправиле mangle.

Илья Князев 2015 14

NAT (Network Address Translation)

● П р и м е н я е т с я в т о м ч и с л е п р инеобходимости преобразования внутреннихадресов к внешним.

● Часто вступает в конфликт с MultiWAN, такк а к в н е ш н и й а д р е с п а к е т а м о ж е тнеожиданно для получателя меняться надругой.

● К сожалению в большинстве случаевневозможно обойтись без этой технологии.

Илья Князев 2015 15

NAT (Network Address Translation)

Илья Князев 2015 16

NAT и MultiWAN

● Для корректной работы маршрутизации,необходимо, чтобы пакеты, которые пришлиснаружи на конкретный интерфейс, былиотправлены назад с того же интерфейса.

● Маркируйте пакеты в цепочках prerouting и output

● Не забывайте про цепочку output.

● Если вы используете VPN с указанием Source-address, не забудьте создать соответствующееправило в mangle output

Илья Князев 2015 17

Типовые правила mangle при NATдля каждого WAN-интерфейса

● Маркируйте входящее подключениеconnection-mark в цепочке prerouting

● На основании connection-mark маркируйтемаршрут в цепочках prerouting и output

Илья Князев 2015 18

Общая стратегия настройки

● Определитесь с режимом работы(Active/Backup) или WLB

● Определитесь с алгоритмом распределениянагрузки на каналы.

● Создайте соответсвующие маршруты иправила в IP Firewall Mangle

● Используйте открытые DNS или явнопропишите маршруты к DNS оператора.

Илья Князев 2015 19

На что еще обратить внимание

● Е с л и м а р ш р у т в и м е н о в а н н о й т а бл и ц емаршрутизации недоступен, пакет будет отправленчерез основную таблицу маршрутизации.

● Если у вас возникает проблема с одним изканалов, то маршрутизатор будет пытатьсяотправить пакет через другой канал.

● Если у вас на обоих WAN-интерфейсах одна и таже подсеть и один и тот же шлюз, можно указать вшлюзе имя интерфейса через знак %. Например1.1.1.1%WAN1

Илья Князев 2015 20

WLB и динамические адреса

● Представьте себе, что ваш маршрутизаторподключен к двум провайдерам.

● Оба провайдера назначают вам адреса попротоколу DHCP.

● Вы хотите настроить Wan Load Balancing

Илья Князев 2015 21

Схема сети

Илья Князев 2015 22

Проблемы конфигурации:

● Мы не можем создать маршрут, в том числемаршрут с маркировкой, потому что мы незнаем адрес шлюза, который назначаетсядинамически.

● В свойствах DHCP-клиента можно указатьтолько дистанцию для маршрута поумолчанию.

● Возможна ситуация когда оба провайдераотдадут вам один и тот же адрес и один и тотже шлюз.

Илья Князев 2015 23

Простое решение

● Использовать второй маршрутизатор. Еслив а ш м а р ш р у т и з ат о р п од д е р ж и в а етmetarouter, то можно использовать его. Тогдавы можете создать статический маршрутмежду ними и использовать маркировку дляпакетов идущих на него.

Илья Князев 2015 24

В чем преимущества инедостатки?

●  Достаточно простое в настройке решение.

● Имеет следующие недостатки:

– Не все оборудование поддерживает Metarouter

– Если вы используете metarouter — он тожепотребляет ресурсы маршрутизатора

– Если вы покупаете второй маршрутизатор — вытратите деньги.

– Чем больше маршрутизаторов, тем сложнее ихобслуживать.

Илья Князев 2015 25

Более сложное решение

● Использовать Virtual Routing and Forwarding(VRF)

● VRF использует PBR (Policy Based Routing)● Можно создать несколько независимых

именованных таблиц маршрутизации наодном и том же роутере..

● VRF решает проблему одинаковых подсетей,т а к к а к т а б л и ц ы м а р ш р у т и з а ц и инезависимы.

Илья Князев 2015 26

Пример такого решения

● Есть два провайдера, предоставляющихдинамические адреса.

● Мы хотим направить трафик на хост 8.8.8.8через одного провайдера, а весь остальнойтрафик через другого.

Илья Князев 2015 27

Схема сети

Илья Князев 2015 28

Шаг 1

● Открываем меню /ip routes и создаем VRF,указав в качестве названия (routing mark)ISP2 и добавляем интерфейс на которыйподключен к этому провайдеру.

Илья Князев 2015 29

Шаг 1

● В таблице маршрутизации автоматическипоявились маршруты с маркировкой ISP2

Илья Князев 2015 30

Шаг 2

● Добавляем в Firewall правила mangle,которые будут маркировать маршрут mark-routing action

– Первое правило маркирует пакеты, которыедолжны быть отправлены через ISP2

– Второе правило «размаркировывает» входящиепакеты, чтобы они могли быть обработаныосновной таблицей маршрутизации.

Илья Князев 2015 31

Как это работает ?

Илья Князев 2015 32

Резервирование канала безсмены адресов

● Может потребоваться для доступа к вашимслужбам из Интернет.

● Требует неизменности вашего адреса.

● У вас есть два варианта решения этойзадачи

– Покупка AS (Autonomus System) и настройкаBGP

– Установка дополнительного маршрутизатора вдатацентре с высоким уровнем доступности,построением VPN до него и балансировкинагрузки между VPN-соединениями

Илья Князев 2015 33

Спасибо за внимание

● Я всегда готов ответить на ваши вопросы.

● Вы можете связаться со мной:

– Web: http://spw.ru

– E-mai:l ikn@spw.ru

– Skype: Ilya.Knyazev