В прошлый раз мы познакомились с ESR-30 и быстро настроили его для работы. Но что, если одной «железки» мало? Если бизнесу нужна гарантия, что интернет не пропадет даже при выходе из строя маршрутизатора?
Сегодня соберем из двух наших ESR-30 один отказоустойчивый кластер. Это как заставить двух сторожей подменять друг друга, не пропуская ни одного посетителя. Проверим, насколько это сложно и как система держит удар, когда мы начинают ее бить.
Зачем это нужно? Просто о сложном
Представьте, что ваш маршрутизатор - это единственный мост через реку. Если мост сломался - все остановились. Кластер - это когда у вас есть два моста, и если один закрывается на ремонт, машины автоматически едут по второму. Для пользователей в офисе это выглядит так, будто ничего не произошло.
Кластер - это пара устройств, работающих в режиме «лидер-заместитель».
- Active (Мастер) - пропускает через себя весь трафик и работает в полную силу.
- Standby (Резервный) - молча стоит на подхвате, непрерывно следя за «начальником».
Если у мастера случается проблема (отключили питание, сломался порт, просто завис), резервный мгновенно берет управление на себя. Для компьютеров в сети это выглядит так, будто маршрутизатор просто мигнул - соединения не рвутся, интернет не пропадает. Для бизнеса это значит нулевой простой.
Собираем конструктор: краткая схема настройки
Процесс напоминает сборку несложного Lego по инструкции. Главное - соединить устройства специальным «каналом синхронизации». Мы для этого выделили 1 порт на каждом ESR-30 и соединили их кросс-кабелем.
Основные шаги из руководства выглядят так:
- Задаем роли: Одному устройству говорим «ты - Юнит 1», другому - «ты - Юнит 2».
- Настраиваем синхронный линк: Создаем специальный VLAN и bridge-интерфейс на выделенных портах. Через них устройства будут обмениваться служебными сообщениями: «Я жив», «Я работаю», «У меня все ОК».
- Настраиваем виртуальный IP (VRRP): Это и есть тот самый общий «адрес» кластера, который будет у компьютеров в сети как адрес шлюза. Мастер будет откликаться на этот адрес, а резерв — просто слушать эфир.
- Включаем кластер: Даем команду enable и смотрим, как устройства находят друг друга.
Самое важное замечание из мануала: данные по каналу синхронизации идут в открытом виде. Будьте осторожны и не используйте такой кластер для объединения филиалов через чужую сеть без дополнительного шифрования.
Пример настройки: как мы собирали наш кластер
Для тех, кто любит технические детали, вот как мы настраивали кластер на двух ESR-30. Это не пошаговая инструкция, а скорее общая схема, чтобы вы понимали масштаб задачи.
Схема у нас была простой:
[ESR-30 Юнит 1] (te 1/0/1) <---> (te 1/0/1) [ESR-30 Юнит 2]
(Active) (Standby)
Собираем пазл: общая схема
У нас есть два ESR-30. Назовем их:
- ESR-30-1 (будет основным)
- ESR-30-2 (будет резервным)
Соединяем их специальным кабелем через гигабитные порты - это будет "синхронизационный линк", по которому устройства будут обмениваться служебной информацией. Сначала настраиваем ESR-30-1:
Шаг 1: Готовим устройства
Сначала задаем имена и номера юнитов. Это как дать каждому устройству паспорт:
ESR-30-1(config)# hostname ESR-30-1 unit 1
ESR-30-1(config)# hostname ESR-30-2 unit 2
Что происходит: Мы создаем "паспорта" для обоих устройств. Теперь система знает, что есть Юнит 1 (ESR-30-1) и Юнит 2 (ESR-30-2).
Шаг 2: Настраиваем общий интерфейс
Создаем bridge-интерфейс, через который устройства будут "общаться":
ESR-30-1(config)# bridge 10
ESR-30-1(config-bridge)# vlan 10
ESR-30-1(config-bridge)# security-zone SYNC
ESR-30-1(config-bridge)# ip firewall disable
ESR-30-1(config-bridge)# ip address 172.29.31.254/24 unit 1
ESR-30-1(config-bridge)# ip address 172.29.31.253/24 unit 2
ESR-30-1(config-bridge)# enable
Что происходит: Создаем виртуальный мост (bridge) в VLAN 10 - это будет "телепатический канал" между устройствами. Каждому юниту даем свой IP в одной подсети, чтобы они могли общаться.
Можно отключить firewall или настроить для него правило:
ESR-30-1(config)# security zone SYNC
ESR-30-1(config)# security zone-pair SYNC self
ESR-30-1(config-security-zone-pair)# rule 1
ESR-30-1(config-security-zone-pair-rule)# action permit
ESR-30-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-30-1(config-security-zone-pair-rule)# enable
Что происходит: Разрешаем протоколу VRRP свободно "бегать" между устройствами. Без этого они не смогут договариваться, кто главный.
Шаг 3: Настраиваем виртуальный IP (VRRP)
Это тот самый "общий адрес", который будет у кластера. Компьютеры в сети будут использовать логический адрес vrrp как шлюз:
ESR-30-1(config-bridge)# vrrp 10
ESR-30-1(config-vrrp)# ip address 172.29.31.1/24
ESR-30-1(config-vrrp)# group 10
ESR-30-1(config-vrrp)# enable
Что происходит: Создаем "общую визитку" кластера - виртуальный IP 172.29.31.1. На самом деле это общий адрес логического устройства для объединения, но для локальной сети будет использоваться другая подсеть! Для проверки кластера нам достаточно этой сети.
Шаг 4: Настраиваем физические порты
Выделяем порты для синхронизации и настраиваем их:
ESR-30-1(config)# interface tengigabitethernet 1/0/1
ESR-30-1(config-if-te)# description "SYNC"
ESR-30-1(config-if-te)# mode switchport
ESR-30-1(config-if-te)# switchport mode trunk
ESR-30-1(config-if-te)# switchport trunk allowed vlan add 10
ESR-30-1(config-if-te)# exit
ESR-30-1(config)# interface tengigabitethernet 2/0/1
ESR-30-1(config-if-te)# description "SYNC"
ESR-30-1(config-if-te)# mode switchport
ESR-30-1(config-if-te)# switchport mode trunk
ESR-30-1(config-if-te)# switchport trunk allowed vlan add 10
ESR-30-1(config-if-te)# exit
Что происходит: Настраиваем порт te 1/0/1 как магистральный (trunk), чтобы он пропускал наш служебный VLAN 10. Аналогично настраиваем te 2/0/1.
Шаг 5: Собираем кластер
Самое интересное - создаем сам кластер:
ESR-30-1(config)# cluster
ESR-30-1(config-cluster)# cluster-interface bridge 10
ESR-30-1(config-cluster)# unit 1
ESR-30-1(config-cluster-unit)# mac-address ec:b1:e0:fa:6a:30
ESR-30-1(config-cluster-unit)# exit
ESR-30-1(config-cluster)# unit 2
ESR-30-1(config-cluster-unit)# mac-address ec:b1:e0:fa:5c:58
ESR-30-1(config-cluster-unit)# exit
ESR-30-1(config-cluster)# enable
Что происходит: Указываем системе, что bridge 10 будет служебным каналом, прописываем MAC-адреса каждого устройства (можно посмотреть командой "show system | include MAC") и включаем кластер.
Настройка устройства ESR-30-1 закончена. На втором устройстве меняем юнит и перезагружаем (не забудьте поменять hostname):
ESR-30-2# set unit id 2
ESR-30-2# reload system
Важно: без смены юнита устройства не смогут объединиться в кластер! И таким же образом настраиваем ESR-30-2.
Что произошло в итоге: Мы создали единую логическую систему из двух физических устройств. Теперь они постоянно обмениваются "сигналами жизни" и готовы в любой момент подменить друг друга.
Проверяем работу
Если все сделано правильно, видим красивую картину:
show vrrp
И статус кластера:
show cluster status
Важные нюансы, которые мы узнали:
- Все дальнейшие настройки делаются только на Active-устройстве - они автоматически синхронизируются на Standby
- Пароли, введенные в открытом виде, шифруются каждым устройством отдельно
- Время автоматически синхронизируется раз в минуту
- Для лицензий есть специальная папка system:cluster-unit-licences
Эта настройка заняла у нас около часа с учетом проверок и изучения документации. Главное - делать всё последовательно и внимательно следить за состоянием устройств после каждого шага. Если возникли сложности напишите мне it@encominc.ru
Возможные проблемы при сборке
Если что-то пошло не так, не паникуйте. Чаще всего проблемы такие:
1. Не видим второе устройство в VRRP
Вместо красивого вывода с двумя юнитами видим только один со статусом Fault:
ESR-30-1# show vrrp
Virtual router Virtual IP Priority Preemption State
-------------- --------------------------------- -------- ---------- ------
10 172.29.31.1/24 100 Enabled Fault
Решение: Проверьте физическое соединение между устройствами и настройки портов. Возможно не настроен firewall, который по умолчанию всегда включен.
2. Второе устройство в состоянии Unreachable
ESR-30-1# show cluster status
Unit Hostname Role MAC address State IP address
---- -------------------- ---------- ----------------- -------------- ---------------
1* ESR-30-1 Member ec:b1:e0:fa:6a:30 Joined 172.29.31.254
2 ESR-30-2 -- ec:b1:e0:fa:5c:58 Unreachable 172.29.31.253
Решение: Убедитесь, что на втором устройстве сменили юнит и перезагрузили его.
3. Не синхронизировались устройства
ESR-30-1# show cluster sync status
System part Synced
---------------------- ------
candidate-config No
running-config No
SW version Yes
licence Yes
licence (After reboot) Yes
date No
Решение: Убедитесь, что claster в рабочем состоянии и выполните синхронизацию вручную (sync cluster system force unit 2).
Обычно эти проблемы решаются за 10-15 минут проверкой настроек по чек-листу.
Итоги: простая страховка, которая окупается за один простой
Давайте по-честному: настройка кластера на Eltex ESR-30 - это не ракетостроение. Мы только что прошли все шаги, и как видите, ничего сверхсложного здесь нет. Процесс занимает около часа, если делать без спешки.
Что вы получаете за этот час:
- Нулевые простои — если один маршрутизатор выйдет из строя, второй автоматически подхватит нагрузку. Пользователи даже не заметят переключения.
- Спокойный сон — вам больше не нужно бросать всё и мчаться в офис, потому что "интернет упал".
- Простое управление — после настройки работаете с кластером как с одним устройством.
А теперь посчитайте:
Стоимость одного простоя для бизнеса легко превышает цену второго маршрутизатора. Особенно если учитывать:
- Потерянные заказы и клиентов
- Простой сотрудников
- Срочные выезды айтишников
- Репутационные потери
Кому точно нужен кластер:
- Любому бизнесу, где интернет = деньги
- Компаниям с онлайн-заказами или бронированиями
- Офисам, где работают удалённые сотрудники
- Тем, кто ценит своё время и нервы
Вердикт:
Кластеризация на ESR-30 - это не роскошь, а разумная страховка. Как ремни безопасности в машине: большую часть времени они не нужны, но в критический момент спасают всё.
В следующий раз будем повышать безопасность нашей сети с помощью системы IPS/IDS!
Подписывайтесь и оставайтесь на связи!