+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Синхронизация настроек на нескольких роутерах MikroTik с VRRP (v7+)

Синхронизация настроек на нескольких роутерах MikroTik с VRRP (v7+), RouterOS

bitbull

Guest

19.11.2024 14:06:00

Всем привет! У нас сейчас несколько маршрутизаторов MikroTik на версии 7+ с настроенным VRRP для резервирования. Но мы хотим настроить синхронизацию конфигураций между этими роутерами, чтобы упростить управление и гарантировать их согласованность. Мне известно о существующем проекте на GitHub https://github.com/svlsResearch/ha-mikrotik/tree/v7-test, который решает задачу синхронизации конфигураций, но там есть только тестовая ветка для версии 7, и она не обновлялась с прошлого года. В связи с этим у меня два вопроса: Планирует ли MikroTik добавить нативную поддержку синхронизации конфигураций в одном из будущих обновлений? Существуют ли сейчас какие-то активно поддерживаемые проекты или решения, совместимые с RouterOS v7, которые могут помочь с этим? Буду очень благодарен за любые советы и рекомендации! Спасибо!

bitbull Guest	#2 0 09.12.2024 09:27:00 Да, я имею в виду синхронизацию конфигурации, например, правил файрвола и так далее, между двумя роутерами.

wiseroute

Guest

09.12.2024 10:16:00

Боюсь, синхронизация между двумя роутерами VRRP невозможна — или, по крайней мере, это будет не просто. Хотя в принципе возможно. Эти два роутера имеют зеркальные конфигурации. При этом необходимые параметры полностью совпадают, но значения у них разные: IP-адреса, роли мастер-слейв, шлюзы и так далее. Если же вы имели в виду оркестрацию — она действительно упростит настройку. Для этого нужен только гипервизор для устройств в кластере (участников кластера).

sindy

Guest

09.12.2024 11:02:00

Пока лучший подход, который я видел, предложил @nathan1 — http://forum.mikrotik.com/t/suggestion-completely-virtual-router-based-on-two-physical-routers/100272/6. Там VRRP используется только для обнаружения отказа активного маршрутизатора. Как отметил @wiseroute, если вы хотите, чтобы VRRP работал как задумано — то есть только переключал виртуальные шлюзы и синхронизировал конфигурацию с активного маршрутизатора на резервный — нужно как-то решать ситуацию, когда часть конфигурации специфична для каждого из устройств, а в RouterOS есть много ограничений в обработке текста. Поэтому «оркестрация», то есть использование внешней машины для изменения конфигурации, может быть более жизнеспособным вариантом, даже если эта «внешняя машина» — просто контейнер, работающий на одном из Mikrotik-ов.

bitbull Guest	#5 0 09.12.2024 11:41:00 Спасибо за информацию. Есть ли какой-то инструмент или сервис, с помощью которого можно управлять роутерами Mikrotik? Это сервер The Dude? Спасибо.

wiseroute

Guest

09.12.2024 12:42:00

может, начнёшь с этого https://mum.mikrotik.com/presentations/MX19/presentation_6911_1555072199.pdf https://docs.ansible.com/ansible/latest/network/user_guide/platform_routeros.html https://yetiops.net/posts/ansible-for-networking-part-6-mikrotik-routeros/#vlans-ip-addressing-and-autonomous-system-numbers https://www.youtube.com/watch%3Fv%3DMBxqIP2lH40&ved=2ahUKEwj75-jc3pqKAxVgTmwGHezSHBEQtwJ6BAgqEAE&usg=AOvVaw1oGo8FtOv257jJUU0jFkxd

Scorcerer Guest	#7 0 09.12.2024 14:11:00 Также вы можете попытаться повлиять на то, как это будет выглядеть в будущем: http://forum.mikrotik.com/t/question-to-our-users-about-controllers/178791/1

Amm0

Guest

09.12.2024 16:16:00

Согласен, в целом идея правильная… Но проблема часто в том, что хотят «синхронизировать всё, кроме…», а вот эта часть с исключениями и создаёт сложности. Например, src-nat или dst-nat могут отличаться в настройках VRRP, а весь остальной файрвол — одинаковый. Как это выразить в конфиге — понятия не имею… По моему мнению, VRRP не особо отличается в вопросе необходимости «синхронизировать конфигурацию» между роутерами, но я надеюсь, что MT разберётся с «новым контроллером», и он учтёт случай с VRRP тоже.

wiseroute

Guest

10.12.2024 00:50:00

@ammo, согласен, в целом… Но проблема часто в том, что пытаются «синхронизировать всё, кроме…», а вот этот «кроме» всё усложняет. Похоже на ситуацию, когда разработчик страдает из-за того, что заказчик всё время меняет мнение? Ну… вспомнил старые добрые времена, когда мы просто копировали и вставляли конфиги через блокнот. diff file1 file2 — полностью ручная синхронизация, пока не появились web config и nms. На самом деле, это были замечательные времена, сейчас у Микротика всё есть и очень классные инструменты тоже: webfig, winbox, dude, rsc. Вопрос только в том, как мы их используем.

Amm0

Guest

#10

10.12.2024 15:50:00

Я уже больше 20 лет занимаюсь разработкой программного обеспечения, так что порой могу понять, с чем сталкивается Mikrotik. История показывает, что они годами работают над «новым контроллером» и/или обновлённым Dude — и в конце концов у них что-то получается... Лично мне нравится идея формализованного шаблона конфигурации, который можно было бы отправлять из Dude — это решило бы проблему синхронизации настроек VRRP. Сейчас Dude толком не умеет управлять конфигурациями на нескольких роутерах, и на мой взгляд, это серьёзный пробел в инструментах. Но сегодня это в основном можно решить вручную — с помощью редактора и глобальных переменных (:global) в начале конфигурации для настройки пары VRRP-роутеров, после чего применять всё одной командой /system/reset-configuration. Поскольку при включённом VRRP второй роутер автоматически берёт на себя управление во время таких операций, этот «ручной» метод пока вполне приемлем.

wiseroute

Guest

#11

10.12.2024 17:17:00

Лично я сторонник некоторой формализованной «шаблонной» конфигурации, которую можно отправлять через Dude — это должно решить вопрос с «синхронизацией конфигурации VRRP». @ammo, а что если просто следовать вики по этой теме — скажем, по VRRP — там же уже есть пошаговое руководство, соответственно, это и есть шаблон. Проблема в том, что, как я понял из того, что написал @sindy, скрипт @nathan1 предполагает, что устройство может быть либо абсолютно новым, либо уже настроенным (будь то просто конфигурация, занятые порты или разное железо и так далее). Поэтому @nathan1 приходится делать сброс устройства, чтобы свободно записать конфигурацию под свои условия VRRP. В боевой среде это не сработает.

Если использовать playbook в Ansible, то одна тема вроде VRRP — это один play. Любая другая тема — отдельный play и так далее. Текущий Dude по сути не управляет конфигурациями на роутерах, так что, на мой взгляд, здесь пробел в инструментах. Первый этап всегда будет нужен — выделенная линия управления (будь то in-band или out-of-band), чтобы нормально пушить конфигурации. В MT есть классные инструменты — mactelnet, ndp и прочие, они уже есть. Нам просто нужен «кластеры мозг» в Dude.

Как мы определяем кластер? Просто группа устройств с одинаковыми функциями или моделью. Например:

кластер edge, участники edge1, edge2;
кластер core, участники swcore1, swcore2;
кластер distribution, участники swagg1, swagg2;
кластер north-access, участники nacc1, nacc2… и так далее.

Записываем их в /etc/hosts, объявляем кластер для темы в playbook. Написал один раз — отправил многим (с некоторыми ограничениями, если они есть). Замечательно!

sindy Guest	#12 0 10.12.2024 19:37:00 Я бы сказал скорее наоборот — клонирование конфигурации с активного устройства на резервное, то есть копирование до последнего байта, — это единственный способ заставить систему работать в промышленной среде без использования каких-либо внешних устройств, которые бы занимались «селективным копированием» или как там это назвать. Один из самых важных моментов в том, что этот метод не оставляет места для ошибок при адаптации любых скриптов «селективного копирования» под актуальную локальную конфигурацию. Так что это решение полностью про «синхронизацию», а не про «оркестровку». @nathan1 не использует VRRP по его прямому назначению, он применяет его только для того, чтобы резервный маршрутизатор следил за состоянием активного. Если активный падает, то запасной берет на себя не только его роль, но, если я правильно понял, и его IP- и MAC-адреса, так что внешние устройства не замечают смены, кроме короткого периода на переключение; время переключения примерно такое же, как при использовании обычного VRRP, потому что резервный маршрутизатор находится в состоянии горячего резерва и ему остается только поднять свои интерфейсы.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры