Konfiguracja MikroTik — Część 75: Wykorzystanie VRRP na MikroTik do zapewnienia wysokiej dostępności sieci LAN i WAN
Konfiguracja MikroTik — Część 75: Wykorzystanie VRRP na MikroTik do zapewnienia wysokiej dostępności sieci LAN i WAN
Wprowadzenie
Wysoka dostępność (HA) to kluczowy wymóg w każdej profesjonalnej infrastrukturze sieciowej. Utrata połączenia nawet na kilka minut może powodować poważne konsekwencje — od spadku produktywności po poważne straty finansowe.
MikroTik RouterOS oferuje wsparcie dla VRRP (Virtual Router Redundancy Protocol), który umożliwia zbudowanie systemu awaryjnego przełączania routerów (failover) w sposób prosty i skuteczny.
W tej części serii pokażę, jak skonfigurować VRRP na MikroTik dla scenariusza sieci LAN z redundancją WAN, przy minimalnej ingerencji w architekturę sieci.
Czym jest VRRP?
VRRP to protokół umożliwiający grupie routerów współdzielenie jednego wirtualnego adresu IP (tzw. virtual IP). W normalnej pracy główny router obsługuje ruch, natomiast w razie jego awarii, funkcję przejmuje router zapasowy — zapewniając ciągłość działania.
Krok 1 — Topologia przykładowej sieci VRRP
- Router 1 (Master) — 192.168.100.2
- Router 2 (Backup) — 192.168.100.3
- Virtual IP (VRRP) — 192.168.100.1
Sieć lokalna skonfigurowana na IP 192.168.100.0/24, a klienci używają jako bramy domyślnej 192.168.100.1
Krok 2 — Konfiguracja VRRP na Router 1 (Master)
/interface vrrp
add interface=bridge1 vrid=1 priority=100 virtual-address=192.168.100.1/24
/ip address
add address=192.168.100.2/24 interface=bridge1
Krok 3 — Konfiguracja VRRP na Router 2 (Backup)
/interface vrrp
add interface=bridge1 vrid=1 priority=90 virtual-address=192.168.100.1/24
/ip address
add address=192.168.100.3/24 interface=bridge1
Krok 4 — Zapewnienie synchronizacji ustawień
Aby zapewnić poprawne działanie failover, konieczne jest zsynchronizowanie:
- Tras statycznych
- NAT i reguł firewall
- Usług takich jak DHCP, DNS Proxy
Dla tego celu można użyć /system script lub zewnętrznych narzędzi typu Ansible, RANCID czy GitOps.
Krok 5 — Testowanie VRRP
- Odłącz zasilanie Router 1 — sprawdź, czy Router 2 przejął Virtual IP
- Podłącz Router 1 — sprawdź, czy ponownie przejął rolę Master
- Monitoruj logi
/log printoraz stan interfejsu VRRP/interface vrrp print
Krok 6 — Wdrażanie VRRP z Failover WAN
Dla pełnej ochrony warto wdrożyć VRRP również na interfejsach WAN, stosując NAT z adresacją wirtualną i monitorowaniem dostępu do ISP za pomocą Netwatch lub Policy Routing.
Przykład konfiguracji NAT dla adresu VRRP:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade src-address=192.168.100.0/24
Scenariusze praktyczne użycia VRRP
- HA w sieciach biurowych — zapasowy router bez potrzeby ręcznej zmiany ustawień klientów
- Redundancja w hotelach i obiektach usługowych
- Failover WAN z podwójnym łączem internetowym
- VRRP na interfejsach VLAN dla środowisk wirtualnych i Data Center
Najczęstsze błędy przy wdrożeniu VRRP
- Używanie tego samego priorytetu na obu routerach
- Brak synchronizacji reguł NAT/Firewall
- Zapomnienie o monitorowaniu VRRP stanu (np. watchdog)
- Błędne stosowanie w jednej domenie broadcastowej bez świadomości konfliktów
Podsumowanie
Dzięki VRRP MikroTik możemy w prosty sposób stworzyć środowisko odporne na awarie routerów, bez potrzeby kosztownej inwestycji w profesjonalne systemy HA. Funkcjonalność ta, połączona z odpowiednią konfiguracją trasowania i monitoringu, daje pełną kontrolę nad dostępnością usług w Twojej sieci.
🔧 Routing, problemy i diagnostyka: Kompletny przewodnik dla użytkowników i administratorów sieci Routing to podstawowy proces umożliwiający przesyłanie danych pomiędzy Czytaj dalej
Konfiguracja MikroTik – Część 39: Automatyzacja zarządzania siecią MikroTik za pomocą API i skryptów Python W dzisiejszym świecie sieciowym, automatyzacja Czytaj dalej
