Протокол резервирования первого перехода (FHRP)
Типы протоколов обеспечения избыточности на первом хопе (FHRP)
В следующем списке перечислены доступные параметры для протоколов обеспечения избыточности на первом хопе (FHRP), как показано на рисунке.
- Протокол резервирования (Hot Standby Router Protocol, HSRP). Является проприетарным протоколом Cisco, который предназначен для обеспечения сквозного переключения IPv4-устройства первого перехода. Протокол HSRP обеспечивает высокую доступность сети благодаря предоставлению функций обеспечения избыточности для маршрутизации на первом хопе для IPv4-узлов в сетях, настроенных с использованием IPv4-адреса шлюза по умолчанию. HSRP используется группой маршрутизаторов для выбора активного и резервного устройств. В рамках группы интерфейсов устройства активным называется устройство, используемое для маршрутизации пакетов; резервным — устройство, которое задействуется в случае сбоя активного устройства или при выполнении предварительно заданных условий. Задача резервного маршрутизатора HSRP заключается в мониторинге рабочего состояния группы HSRP и быстром переходе к выполнению функций пересылки пакетов в случае сбоя активного маршрутизатора.
- HSRP для IPv6: проприетарный протокол FHRP Cisco, который предоставляет те же функции HSRP, но для среды IPv6. Группа IPv6 HSRP содержит виртуальный MAC-адрес, производный от номера группы HSRP и виртуального локального IPv6-адреса канала, производного от виртуального MAC-адреса HSRP. Для виртуального локального IPv6-адреса канала HSRP отправляются периодические объявления маршрутизатора (RA), если группа HSRP активна. Когда группа становится неактивной, RA прекращаются после отправки последнего из них.
- Протокол резервирования виртуального маршрутизатора, версия 2 (VRRPv2): открытый протокол выбора, динамически назначающий VRRP-маршрутизаторам ответственность за один или несколько виртуальных маршрутизаторов в IPv4-сети LAN. Таким образом, несколько маршрутизаторов в канале с множественным доступом могут использовать один виртуальный IPv4-адрес. VRRP-маршрутизатор настраивается для запуска протокола VRRP в комбинации с одним или несколькими другими маршрутизаторами, подключенными к сети LAN. В конфигурации VRRP один из маршрутизаторов выбирается в качестве основного виртуального маршрутизатора, а другие выступают в роли резервных на случай сбоя основного виртуального маршрутизатора.
- VRRPv3 предоставляет функции поддержки IPv4- и IPv6-адресов. VRRPv3 работает в неоднородных средах и предоставляет более широкие возможности масштабирования, чем VRRPv2.
- Протокол распределения нагрузки для шлюзов (GLBP): проприетарный протокол FHRP Cisco, который обеспечивает защиту трафика данных от неисправного маршрутизатора или сети (например, HSRP и VRRP), одновременно обеспечивая балансировку нагрузки (т. н. распределение нагрузки) по группе избыточных маршрутизаторов.
- GLBP для IPv6: проприетарный протокол FHRP Cisco, который предоставляет те же функции GLBP, но для среды IPv6. GLBP для IPv6 обеспечивает автоматическое резервирование маршрутизаторов для узлов IPv6, настроенных с одним шлюзом по умолчанию в сети LAN. Несколько маршрутизаторов первого перехода в сети LAN объединены в целях предоставления одного виртуального IPv6-маршрутизатора первого перехода при одновременном распределении нагрузки в процессе пересылки IPv6-пакетов.
- Протокол обнаружения маршрутизаторов ICMP (IRDP): заявлен в RFC 1256, является предыдущей версией решения FHRP. IRDP позволяет узлам IPv4 определять местоположение маршрутизаторов, обеспечивающих подключение по IPv4 к другим (нелокальным) IP-сетям.
Резервирование маршрутизатора с использованием протокола VRRP
Услуга резервирования маршрутизатора с использованием протокола VRRP появилась на российском рынке недавно. В зарубежных странах упомянутая услуга известна под названием failover IP. Резервирование маршрутизатора, использующее протокол VRRP, интересно пользователям, которые желают обеспечить бесперебойную доступность бизнес-значимых ресурсов, но не имеют должных технических возможностей. Например, отсутствие собственной автономной системы, блока IP-адресов и так далее. Давайте рассмотрим упомянутый тип резервирования маршрутизатора более подробно.
Теория
VRRP что это и какими особенностями он обладает? Протокол VRRP открывает возможность объединения нескольких маршрутизаторов в одну группу, которая имеет один IP-адрес. Данный адрес применяется в качестве шлюза по умолчанию для локальной сети. В любой момент времени только один из физических маршрутизаторов будет выполнять маршрутизацию трафика(VRRP Master). Все остальные перейдут в состояние резерва (VRRP Backup). VRRP протокол имеет 2 версии: VRRPv2 and VRRPv3. VRRPv2 применим только к сетям, использующим протокол IPv4, VRRPv3, в свою очередь, работает как с IPv4, так и с IPv6. Ниже приведены еще несколько ключевых отличий.
Параметр | VRRP (V3) | VRRP (V2) |
RFC | 5798 | 3768 |
---|---|---|
Минимальный период отправки служебных сообщений | Миллисекунда | Секунда |
Групповой адрес для отправки служебных сообщений | 224.0.0.18 для IPv4 FF02:0:0:0:0:0:0:12 для IPv6 | 224.0.0.18 для IPv4 |
Выбираем схему резервирования
Например, у вас имеется интернет-ресурс, который критически важен для бизнеса. Он обязан выдерживать большой трафик. Представим, у определенного ресурса есть IP-адрес 12.34.56.78. Его выдал провайдер в составе блока 12.34.56.72/29. Адрес, маска и шлюз по умолчанию у ресурса имеет такой вид: ifconfig eth0 address 12.34.56.78 mask 255.255.255.248 gw 12.34.56.73 В этом случае адрес хоста – 12.34.56.78, а дефолтный адрес шлюза – 12.34.56.73. Упомянутый адрес входит в зону ответственности оператора. Если же хост находится в дата-центре, то ответственность полностью лежит на дата-центре. Можно представить данную схему следующим образом:
Между хостом и маршрутизатором настраивается L2-домен. Эффективным способом повышения уровня доступности хоста является резервирование сетевой инфраструктуры. Например, в целях резервирования на уровне L2 минимальным обеспечением служит Virtual Chassis/Fabric/MC-LAG.
Нужно понимать, что основными точками отказа считается маршрутизатор и конечный хост. А ответственность за резервирование конечного хоста полностью лежит на заказчике. При этом конечный и резервный хост должны находится в разных дата-центрах. Таким образом можно избежать риск большинства проблем, связанных с площадкой размещения оборудования. На L2 уровне настроить связность между резервным и основным хостом можно с помощью протокола VRRP и его аналогов.
Если вы желаете получить полноценное резервирование на уровне дата-центра, то нужно обеспечить резервирование всех компонентов сервиса. При этом после резервирования у них должны отсутствовать точки отказа. Поэтому идеальную схему резервирования можно показать графически следующим образом:
Резервирование маршрутизаторов
Когда мы говорим о резервировании маршрутизатора на L3 уровне, то сразу же стоит упомянуть anycast-маршрутизацию с применением BGP протокола. Каждый хост передает на маршрутизаторы оператора следующую сеть 12.34.56.72/29 с разными приоритетами. В то же время каждый из хостов подключен к маршрутизаторам оператора выделенной подсетью.
- активно используется в Интернете (BGP);
- масштабирование реализовывается на несколько дата-центров.
Конечно у неё есть и слабые стороны, а именно низкая скорость работы и трудоемкая настройка.
При работе на L2 уровне оператор сети обеспечивает L2 связность, используя MPLS-туннель или VXLAN. А резервный и конечный хост связаны с помощью протокола VRRP. Получаем следующую схему:
Основной IP-адрес 12.34.56.78 будет “перемещаться” между хостами в зависимости от того, какой хост является Master роутером в текущий момент времени. А конечный и резервный хосты получат IP-адреса из этой сети, например 12.34.56.77 и 12.34.56.76.
Такая же система будет сконфигурирована и на маршрутизаторах оператора. Маршрутизаторы объединены в одну VRRP группу с адресом шлюза по умолчанию —12.34.56.73/29. Маршрутизатор в дата-центре 1 является ”главным”, поэтому при конфигурации он будет master роутером с физическим IP-адресом 12.34.56.73, а маршрутизатор 2 — резервным маршрутизатором с адресом 12.34.56.74. IP-адрес 12.34.56.73 для второго маршрутизатора будет виртуальным, и он будет принимать пакеты, отправленные на этот адрес, только в случае, если первый маршрутизатор станет недоступен, то есть прервется отправка advertisement сообщений в течение трех Adver Timer.
Если случится неисправность: как это работает
Если все настроено верно то работают оба хоста заказчика и маршрутизаторы у оператора. Для одного маршрутизатора в момент построения схемы был задан как мастер (основной), который отвечающий на адрес 12.34.56.73. Точно такая же схема работает с хостами, так что второй хост и маршрутизатор являются резервными.
Когда один из хостов недоступен, то VRRP на резервном хосте понимает, что главный хост больше не отвечает на запросы. После чего на резервном хосте меняется адрес на 12.34.56.78:
Теперь запросы из интернета попадают на первый маршрутизатор. Он в своей ARP-таблице видит МАС-адрес, соответствующий IP-адресу 12.34.56.78 со стороны второго маршрутизатора и трафик отправляется на резервный хост. Резервный хост отправляет ответный трафик на установленный шлюз по умолчанию – 12.34.56.73, т.е. через маршрутизатор 1.
Если неисправность основного хоста будет устранена, виртуальный IP-адрес снова “переедет” на основной хост.
Абсолютно такая же система при сбоях сетевой инфраструктуры между конечным хостом и маршрутизатором:
Нарушается связность между основным хостом и маршрутизатором, Основному хосту все еще присвоем виртуальный IP-адрес, но сам хост не принимает участие в обработке интернет-запросов. Резервный, потеряв связь с основным хостом, берет на себя master роль и виртуальный IP, обеспечивая бесперебойную работу.
В том случае, когда недоступен вообще целый дата-центр, то система функционирует только с помощью резервного хоста и второго маршрутизатора:
Заключение
Технология резервирования сетевый подключений с помощью протокола VRRP открывает перед владельцами интернет-ресурсов большие возможности.Данная технология популярна и часто используется для обеспечения бесперебойной работы системы.
Резервирование маршрутизатора с использованием протокола VRRP
В предыдущей публикации мы затронули проблемы резервирования сетевой инфраструктуры и рассмотрели, как работает технология MC-LAG. Сегодня мы расскажем ещё об одной технологии, более сложной и более надёжной и позволяющей осуществлять резервирование на уровне дата-центра. Речь идёт об увеличении уровня доступности маршрутизаторов с помощью протокола VRRP (Virtual Router Redundancy Protocol). Статья будет интересна в первую очередь тем, кто хотел бы обеспечить постоянную доступность бизнес-значимых интернет-ресурсов, но при этом не обладает для этого достаточными техническими возможности: не имеет ни собственной автономной системы, ни блока IP-адресов, ни подключений к провайдерам по протоколу BGP.
В предыдущей публикации мы затронули проблемы резервирования сетевой инфраструктуры и рассмотрели, как работает технология MC-LAG. Сегодня мы расскажем ещё об одной технологии, более сложной и более надёжной и позволяющей осуществлять резервирование на уровне дата-центра. Речь идёт об увеличении уровня доступности маршрутизаторов с помощью протокола VRRP (Virtual Router Redundancy Protocol).
Статья будет интересна в первую очередь тем, кто хотел бы обеспечить постоянную доступность бизнес-значимых интернет-ресурсов, но при этом не обладает достаточными техническими возможностями: не имеет ни собственной автономной системы, ни блока IP-адресов, ни подключений к провайдерам по протоколу BGP.
Выбираем схему резервирования
Представим себе, что у нас есть критически важный для бизнеса интернет-ресурс, который должен всегда доступен большому количеству пользователей. У этого ресурса www.mysite.ru есть IP-адрес 12.34.56.78, выданный провайдером в составе блока 12.34.56.72/29.
Сетевые настройки ресурса (адрес, маска и шлюз по умолчанию) выглядят так:
ifconfig eth0 address 12.34.56.78 mask 255.255.255.248 gw 12.34.56.73
Если .78 — это адрес хоста, то .73 — адрес шлюза по умолчанию. Этот адрес — зона ответственности оператора, а если хост размещен в дата-центре — то зона ответственности дата-центра. Графически эту схему можно представить так:
На конечном хосте прописывается адрес 12.34.56.78, на маршрутизаторе — .72, и между ними организуется единый L2-домен (как правило, это отдельный VLAN):
Чтобы повысить уровень доступности конечного хоста, требуется резервирование сетевой инфраструктуры.
Для резервирования на уровне L2 в простейшем случае используется Virtual Chassis/Fabric/MC-LAG. Тогда конечный хост подключается сети дата-центра с использованием LAG (Etherchannel):
Возможными точками отказа являются сам конечный хост и маршрутизатор.
Резервирование конечного хоста — это ответственность заказчика. Очень желательно, чтобы конечный и резервный хост были расположены в разных дата-центрах. Это позволит избежать многих проблем (с сетевой структурой, с доступностью конкретного физического сервера, с электропитанием и охлаждением на отдельно взятых площадках).
Организовать перенос IP-адреса между основным и резервным хостами можно разными способами.В пределах одного L2-сегмента это можно сделать с помощью протоколов CARP/HSRP/VRRP и их аналогов:
О полноценном резервировании на уровне дата-центра можно вести речь только в случае, если все компоненты сервиса зарезервированы, и у них нет единой точки отказа.
Идеальную схему резервирования можно представить так:
Конечный и резервный хосты заказчика находятся в разных дата-центрах. Маршрутизаторы, принадлежащие оператору, также расположены в разных дата-центрах. Дата-центры могут быть соединены несколькими каналами связи.
При возникновении неисправности в одном из дата-центров конечный хост все равно остаётся доступным. Описанный подход можно использовать для резервирования как по L2-, так и по L3-схемам.
Резервирование маршрутизаторов
Примером резервирования на уровне L3 может служить anycast-маршрутизация и использованием BGP с вышестоящим оператором. Каждый из хостов анонсирует на маршрутизаторы оператора связи сеть 12.34.56.72/29 с разным приоритетом. При этом каждый хост подключается к маршрутизаторам оператора связи отдельной подсетью, отдельным VLAN’ом:
Такая схема обладает следующими преимуществами:
- она широко используется в Интернете (BGP);
- масштабирование осуществляется не на два, а на несколько дата-центров;
Не лишена она и недостатков, в числе которых нужно назвать:
- низкую скорость работы (по умолчанию скорость сходимости BGP — от 1.5 минут);
- сложность настройки;
- необходимость выделения отдельных подсетей для подключения в каждом дата-центре.
Скорость переключения на резервный хост можно ускорить, если использовать не BGP, а другой протокол — OSPF или IS-IS . Сложность здесь заключается в том, что далеко не каждый оператор связи даст возможность использовать эти протоколы: с их помощью обычно осуществляется передача служебных данных (например, MPLS-меток или служебных адресов), а полноценных возможностей ограничения нет.
При использовании L2-схемы оператор организует единый L2-домен между основным и резервным хостами. Между маршрутизаторами организуется VXLAN или MPLS-туннель:
VXLAN / MPLS помогают организовать резервирование с использованием нескольких каналов связи между маршрутизаторами провайдера.
Конечный и резервный хосты между собой используют VRRP или его аналоги. Таким образом IP-адрес 12.34.56.78 оказывается на активном в текущий момент хосте (если оба хоста активны — то на сконфигурированном master-хосте). Конечный хост получает IP-адрес из этой сети — 12.34.56.77, резервый хост получает адрес из той же сети — 12.34.56.76. Если на хостах установлена ОС Windows, то вместо VRRP можно использовать NLB-кластеризацию.
Аналогичная схема строится и со стороны оператора. Оба маршрутизатора участвуют в одном VRRP-домене и разделяют между собой адрес шлюза по умолчанию —12.34.56.73/29. Маршрутизатор 1 является предварительно сконфигурированным мастером с физическим IP-адресом 12.34.56.73, а маршрутизатор 2 — резервным маршрутизатором с физическим адресом 12.34.56.74; адрес 12.34.56.73 для него является виртуальным и активным только в момент недоступности маршрутизатора 1.
Несомненными преимуществами такой схемы являются:
- использование стандартных протоколов (VRRP);
- простота настройки, как со стороны заказчика, так и со стороны оператора;
- высокая скорость работы.
Недостаток только один: схему неудобно масштабировать на более чем два дата-центра.
Если случится неисправность: как это работает
В нормальной ситуации работают оба маршрутизатора и оба хоста заказчика. Один из маршрутизаторов на этапе построения схемы назначается основным (мастером) и отвечает на адрес 12.34.56.73. Аналогичным образом обстоит дело и с хостами: один из них является основным и отвечает на запросы на адрес 12.34.56.78. Второй маршрутизатор и второй хост являются резервными.
Запросы из Интернета проходят через маршрутизатор 1 и попадают на основной конечный хост. На маршрутизаторах присутствует ARP-запись 12.34.56.78 с МАС-адресом 0000:5E00:01xx, указывающим в сторону основного хоста. Основной хост отвечает хостам в Интернете по роутингу через маршрутизатор 1 (для хостов указан default gateway 12.34.56.73). Для сокращения сетевой задержки основной маршрутизатор размещается в том же дата-центре, что и основной хост.
Что происходит, когда один из хостов недоступен? VRRP на резервном хосте определяет, что основной хост перестал отвечать на keep-alive запросы, и на резервном хосте устанавливается IP-адрес 12.34.56.78:
Запросы из интернета попадают на маршрутизатор 1; он в своей ARP-таблице видит МАС-адрес, соответствующий IP-адресу 12.34.56.78 со стороны маршрутизатора 2 и отправляет трафик на резервный хост. Резервный хост отправляет ответный трафик на шлюз по умолчанию 12.34.56.73, т.е. через маршрутизатор 1. При использовании этой схемы увеличивается сетевая задержка между хостами в Интернете и резервируемым хостом.
После устранения неисправностей IP-адрес 12.34.56.78 снова становится доступен на основном хосте, и схема работает в штатном режиме.
Аналогичным образом эта схема работает в случае неисправности сетевой инфраструктуры между маршрутизатором и конечным хостом:
При выходе промежуточного коммутатора из строя основной хост по-прежнему остаётся носителем адреса 12.34.56.78, но у него нет сетевой связи с маршрутизатором и он не участвует в обработке запросов из Интернета. Резервный хост, потеряв связность с основным, становится ответственным за адрес 12.34.56.78.
Если становится недоступным маршрутизатор 1 или вообще весь дата-центр 1 целиком, то схема работает исключительно через маршрутизатор 2 и резервный хост:
После восстановления инфраструктуры схема переходит в работу в штатном режиме. Практически никакие неисправности в дата-центре 2 не влияют на доступность конечного хоста.
Данное решение позволяет осуществлять инсталляцию и обслуживание высокодоступных ресурсов, полноценное их резервирование и разнесение в раздельные дата-центры.
Заключение
В этой статье мы рассмотрели технологии резервирования сетевых подключений с использованием протокола VRRP.
В рамках услуги «Геораспределенная подсеть» VRRP настроен со стороны Selectel по умолчанию. При необходимости обеспечить не только использование общей IP-адресации, но и резервирование, схема может быть преобразована в отказоустойчивую, если настроить VRRP на стороне клиентских серверов.
Услуга будет полезна тем, кто хотел бы реализовать доступность инфраструктуры из интернета между регионами или локациями с использованием одного и того же IP-адресного пространства с автоматическим резервированием шлюза по умолчанию.
Подробнее об услуге — в нашей базе знаний. Заказать «Геораспределенную подсеть» можно в панели управления.
Mistifiks blog
Предположим, у нас есть два интернет-провайдера, предоставляющих доступ в сеть через проводное соединение. От первого провайдера мы должны получить настройки по dhcp, для второго их нужно задать статически. Нам требуется обеспечить безотказную работу интернет-соединения. Для этого при возникновении проблем с доступом в интернет через основной канал (первого провайдера) наш маршрутизатор должен автоматически переключаться на резервный (второго провайдера), и, при восстановлении связи, продолжать работу в штатном режиме. Сразу условимся: в первый порт будет подключен основной провайдер, во второй — резервный, остальные три порта будут использоваться для подключения компьютеров локальной сети. О работоспособности канала будем судить по доступности ip-адреса. Для проверки лучше всего взять адрес какого-либо крупного сервиса, вероятность отказа которого крайне мала (мы выбрали google dns).
1. Очистка конфигурации роутера
Для того, чтобы процесс настройки был понятней, и в дальнейшем не возникло путаницы, мы удалим стандартную конфигурацию и будем все делать с нуля. После очистки конфигурации к роутеру можно подключиться только по mac-адресу через программу winbox.
2. Настройка интерфейсов и создание сетевого моста («bridge»)
В системе управления каждый интерфейс имеет свое имя. Имеет смысл присвоить интерфейсам устройства хорошо различимые понятные имена, что в будущем позволит существенно облегчить настройку и мониторинг системы.
Следующей задачей для нас является настройка внутренней сети. Для обеспечения взаимосвязи между компьютерами и устройствами локальной сети проще всего воспользоваться функциями сетевого моста («Bridge»), который позволяет объединить внутренние сетевые интерфейсы и обеспечить прозрачный доступ внутри сети.
Для создания сетевого моста необходимо воспользоваться пунктом меню «Bridge», указать требуемое имя моста и в закладке «Ports» добавить в мост требуемые внутренние интерфейсы.
3. Добавление ip-адресов
Далее нужно добавить внутренний ip адрес, который будет являться шлюзом для нашей локальной сети (обратите внимание, что его нужно присвоить интерфейсу сетевого моста), а так же ip-адрес, который нам предоставляет второй провайдер.
4. Настройка внутреннего dhcp-сервера
Теперь мы должны настроить параметры внутреннего DHCP сервера для раздачи IP адресов устройствам внутренней сети. Сначала необходимо создать пул выдаваемых IP адресов, для чего открываем пункт меню «IP»-«Pool», создем новый пул, присваиваем ему различаемое имя и указываем диапазон выдаваемых адресов.
Теперь можно приступать к настройке собственно DHCP сервера. Для этого необходимо перейти в пункт меню «IP»-«DHCP Server» и создать новый сервер, указав его имя, интерфейс на котором сервер будет работать (в нашем случае это сетевой мост) и ранее настроенный пул выдаваемых адресов. После этого мы должны указать параметры сети для нашего DHCP севера. Для этого нужно перейти на закладку «Network» и указать параметры передаваемые клиентам.
5. Создание dhcp-клиента
Так как подключение к сети первого провайдера предполагается осуществлять с использованием динамического адреса, значит нам нужно создать dhcp-клиента, работающего на первом порту маршрутизатора. Сделать это можно из меню «IP» — «Dhcp client».
6. Добавление статических маршрутов
Все взаимодействие между сетями осуществляется в соответствии с таблицей маршрутизации, управлять которой можно из меню «Routes». Маршруты в локальную сеть и к внутренним сетям провайдеров были добавлены динамически, осталось добавить маршруты в интернет (на адрес 0.0.0.0/0) через шлюзы провайдеров. Так же для обоих созданных маршрутов добавляем комментарии и указываем маршрут к 8.8.4.4 через шлюз первого провайдера (необходимо для работы проверки канала).
7. Настройка межсетевого экрана
Используя встроенный файервол можно управлять всем трафиком, проходящем через маршрутизатор. Фильтрация осуществляется на основе правил, заданных в меню «Firewall» и применяемых последовательно ко всем сетевым пакетам. Все действия с маршрутизатором можно проводить, как из графического интерфейса, так и из командной строки. В данном разделе удобнее будет все сделать из консоли.
Заходим в «Terminal» и выполняем следующие команды:
#скрываем внутреннюю сеть за NAT ip firewall nat add action=masquerade chain=srcnat comment=NAT src-address=192.168.88.0/24 #запрещаем соединения со статусом invalid ip firewall filter add action=drop chain=input comment="Deny invalid connections" connection-state=invalid #разрешаем использование протокола icmp ip firewall filter add chain=input comment="Permit icmp" protocol=icmp #разрешаем все уже установленные соединения ip firewall filter add chain=input comment="Permit established connections" connection-state=established #разрешаем все зависимые соединения ip firewall filter add chain=input comment="Permit related connections" connection-state=related #блокируем все новые соединения со всех интерфейсов, кроме LAN ip firewall filter add action=drop chain=input comment="Deny new connections" connection-state=new in-interface=!LAN #запрещаем ping 8.8.4.4 через ISP2 ip firewall filter add action=drop chain=output comment="Deny 8.8.4.4 to reserved internet-channel" dst-address=8.8.4.4 out-interface="ether2 - internet II (reserve)" protocol="icmp"
8. Переключение каналов
В ОС роутера есть встроенная утилита «Netwatch», которая позволяет отслеживать состояние хостов в сети посредством отправки ICMP-запросов (ping) и выполнять какие-либо действия на основе их доступности. Мы будем отслеживать ip-адрес 8.8.4.4 через первый канал, и в случае его недоступности переключать маршруты на работу по второму.
Создаем новый «Netwatch host», в графе «Host» указываем отслеживаемый ip-адрес, а в «Interval» — частоту осуществляемых проверок.
В раздел «Up» нужно сделать записи:
#включем маршрут с комментарием "ISP1" (основной канал) /ip route set [find comment="ISP1"] disabled=no #отключаем маршрут с комментарием "ISP2"(резервный канал) /ip route set [find comment="ISP2"] disabled=yes
#отключаем маршрут с комментарием "ISP1"(резервный канал) /ip route set [find comment="ISP1"] disabled=yes #включаем маршрут с комментарием "ISP1" (основной канал) /ip route set [find comment="ISP2"] disabled=no
9. Настройка безопасности
Выполняя настройку подобных устройств всегда необходимо думать о сетевой безопасности, поэтому перед введением маршрутизатора в эксплуатацию необходимо произвести следующие настройки:
- отключить все неиспользуемые сервисы («IP» — «Services»)
- отключить обнаружение устройства на всех внешних интерфейсах («IP» — «Neighbor»)
- установить пароль администратора («System» — «Password»)