formacion-ubrss-ubiquiti

VRRP: Alta disponibilidad con routers Mikrotik.

VRRP: Alta disponibilidad con routers Mikrotik.

Virtual Router Redundancy Protocol (VRRP) es un protocolo de red diseñado para proporcionar redundancia de router en redes de área local (LAN). Esto significa que si un router principal falla o se vuelve inaccesible, otro router de respaldo puede tomar su lugar y proporcionar continuidad en la conectividad de red.

RouterOS, ofrece soporte nativo para VRRP, lo que lo convierte en una opción para implementar este protocolo en redes de distintos tamaños.

¿Cómo configurar VRRP en Mikrotik?

Para configurar VRRP en Mikrotik, es necesario especificar un grupo VRRP y una dirección IP virtual. Los routers participantes en el grupo VRRP se denominan «miembros», y uno de ellos se elige como el router principal. Si el router principal falla o se vuelve inaccesible, otro miembro del grupo VRRP tomará su lugar y comenzará a responder a las solicitudes de conectividad utilizando la dirección IP virtual.

Es importante tener en cuenta que VRRP solo proporciona redundancia en el nivel de capa 3 (red) del modelo OSI. Esto significa que si un router principal falla, el tráfico de red será reenrutado a través del router de respaldo, pero cualquier configuración específica del router, como reglas de firewall o configuraciones de enrutamiento, no se transferirán automáticamente. Por lo tanto, es importante asegurarse de que ambos routers tengan configuraciones similares para garantizar una transición correcta.

La configuración de VRRP en Mikrotik es muy simple. Solo es necesario crear una interfaz VRRP, asignar direcciones IP y otros parámetros opcionales, en caso de ser necesario:

/interface vrrp add name=vrrp1 interface=ether1
/ip address add address=192.168.1.2/24 interface=ether1
/ip address add address=192.168.1.1/32 interface=vrrp1

En el ejemplo anterior estamos utilizando la interfaz ether1 con la red 192.168.1.2/24 y la interfaz VRRP con una red /32, esto hay que realizarlo de esta forma, ya que tenemos la misma red en otra interfaz.

Adicionalmente, podríamos asignar la prioridad, el router que cuente con la prioridad más alta será seleccionado como master.

Puedes ver varios ejemplos de configuración desde aquí.

¿Cómo funciona VRRP en Mikrotik?

El objetivo del VRRP es comunicarse con todos los routers VRRP asociados con el mismo ID del router virtual y admitir la redundancia a través de un proceso de elección priorizado entre ellos.

Todos los mensajes se ejecutan mediante paquetes de multidifusión IPv4 o IPv6 utilizando el protocolo 112 (VRRP). La dirección de destino de un paquete IPv4 es 224.0.0.18 y para IPv6 es FF02:0:0:0:0:0:0:12. La dirección de origen del paquete es siempre la dirección IP principal de una interfaz desde la que se envía el paquete. En las redes IPv6, la dirección de origen es la dirección local de enlace de una interfaz.   

Estos paquetes siempre se envían con TTL=255 y el enrutador no los reenvía. Si por alguna razón el router recibe un paquete con un TTL más bajo, se descarta un paquete.

Cada nodo VR tiene una única dirección MAC asignada. Esta dirección MAC se utiliza como origen para todos los mensajes periódicos enviados por el router en estado de Master.

El router virtual está definido por VRID y un conjunto asignado de direcciones IPv4 o IPv6. No hay límites para usar el mismo VRID para IPv4 e IPv6; sin embargo, estos serán dos enrutadores virtuales diferentes.  

Solo el router maestro envía mensajes periódicos para minimizar el tráfico. Un router en estado de backup intentará adelantarse al maestro solo si tiene la prioridad más alta y la preferencia no está prohibida. (opciones de preemption y priority).

5 Beneficios de VRRP en Mikrotik.

Algunos de los beneficios de utilizar VRRP con Mikrotik son:

  1. Redundancia de router: VRRP proporciona redundancia de router, lo que significa que si un router principal falla o se vuelve inaccesible, otro router de respaldo puede tomar su lugar y proporcionar continuidad en la conectividad de red.
  2. Alta disponibilidad: Al tener más de un router en la red, la disponibilidad de la red aumenta. Si un router falla, el tráfico se reenrutará automáticamente a través del router de respaldo, minimizando los tiempos de inactividad.
  3. Fácil de configurar: Mikrotik ofrece soporte nativo para VRRP, lo que lo hace fácil de configurar y utilizar.
  4. Bajo coste: VRRP es una opción de bajo coste para proporcionar redundancia de routers, en comparación con otras opciones, como el uso de routers redundantes completos.
  5. Escalabilidad: VRRP es escalable y puede utilizarse en redes de cualquier tamaño.

En resumen, VRRP es una herramienta valiosa para proporcionar redundancia y aumentar la disponibilidad de la red.

Sincronización del Connection-tracking en VRRP con RouterOS V7.

A partir de la versión 7 de RouterOS en Mikrotik, VRRP añade una nueva funcionalidad muy útil que es la sincronización del connection-tracking. Esta opción es muy útil, ya que el router principal y el backup tendrán la tabla de conexiones siempre sincronizada.

Para esta configuración es recomendable configurar en «yes» el connection-tracking.

/ip/firewall/connection/tracking/set enabled=yes

Luego, en el router Master, vamos a seleccionar la opción de sincronización y vamos a especificar la IP del router Backup.

En el Router Backup, solo hay que marcar que sincronice la conexión, no es necesario especificar una dirección IP.

Las entradas de seguimiento de conexión se sincronizan solo desde el dispositivo maestro al dispositivo de respaldo.

Consideraciones de diseño utilizando VRRP en Mikrotik.

VRRP es un protocolo de alta disponibilidad, pero hay que siempre evaluar el entorno del despliegue.

VRRP para alta disponibilidad de la WAN.

En este escenario, solo debemos establecer la LAN para la sincronización de VRRP. En caso de que no se reciban los mensajes, el backup podrá tomar el lugar del router maestro. Este es el escenario común y más simple de configurar, pueden existir más routers de respaldo, unidos al ID VRRP.

VRRP en routers con DHCP.

Este escenario es un poco más complejo, ya que el router está tomando la acción de reemplazar al maestro sobre la WAN, pero también tiene una red local por detrás con un servidor DHCP.

Un router en estado de backup no responderá los mensajes de ARP. Solo lo hace el Master. Hay dos posibles opciones de configuración:

  1. Configurar la instancia DHCP sobre la interfaz VRRP: En este escenario la red local y la red VRRP son las mismas, si este es el caso, puede ser una opción viable.
  2. Configurar un script cada vez que un router es Master o Backup: Este escenario es útil cuando la red de VRRP es distinta a la LAN. Aquí podríamos crear un script que habilite o deshabilite la interfaz de la LAN. Ej. Cuando el router esté en estado de Backup, la interfaz LAN está deshabilitada, cuando tome el valor de Master, se habilita.

Esta última opción es útil, ya que cuando un equipo de nuestra red asocia la MAC de una interfaz LAN de un equipo de backup quedara unido a él, a no ser refresque su tabla. De esta forma, obligamos al cliente a iniciar un nuevo proceso de ARP.

Hay que tener en cuenta que los servidores DHCP pueden tener la misma red, podríamos también diseñar un script para que se habilite el servidor o no, pero al deshabilitar la interfaz de la LAN donde esté el servidor de DHCP, hace que este quede inactivo.

Configuraciones en ambos routers VRRP.

La única sincronización que podríamos tener es, a través del connection-tracking y solo en RouterOS v7. Si un router maestro, no está disponible y toma lugar el backup, lo hará con la configuración que tenga en ese momento, las configuraciones no se sincronizan. Si en el router maestro contamos con reglas de firewall, no estarán en el backup, a no ser las configuremos en ese router también.

Mikrotik nos ayuda en estos escenarios a través de Scripts, podríamos crear un script que cada cierto tiempo se ejecute un export de la configuración y se almacene en el router Backup o en un servidor FTP.

Luego, en el router backup podríamos indicar a través de otro script que cargue su configuración. De esta forma tendríamos también los routers sincronizados.

Notas finales

VRRP con Mikrotik es una solución versátil para el diseño de alta disponibilidad en routers, dependiendo de la necesidad podremos optar por configuraciones adaptadas a cada red.

Esperamos esta entrada de introducción a VRRP con Mikrotik haya sido de ayuda para comprender más el funcionamiento.

También te dejaremos enlaces para seguir tu configuración y estudio:

Formaciones Mikrotik

Documentación oficial.

Ejemplos VRRP.

¡Nos vemos la próxima!

Artículos relacionados