Резервируется. Еще одним L2VPN. Насчет удобства — да, вполне. В рамках этой сети нет нужды гонять интернет трафик через внутреннюю сеть между локациями, там гуляет исключительно локальный трафик. Соответственно и политики настроены на шифрование всего идущего в приватную сеть.
EoIP в данном случае был оставлен по историческим причинам — EoIP туннели между основным офисом и каждым из других уже существовали, так что просто достроили недостающие и настроили маршрутизацию. При первой же возможности от этого отказались в пользу L2VPN от провайдеров между всеми локациями.
Автор учел многое, но вот конфиг из прода автору выложить не дали, даже на конфиге из лабы сильно попросили потереть все адреса и все, что могло указать на фирму. По сути, выложенный мануал и конфиг показывают как это настроить чтобы вообще заработало, а вот доп. мелочи типа правил mangle для корректной работы обоих провайдеров вместе, маршрутов на внешние IP точек, шифрования трафика и т.д. можно настроить по надобности.
Не противоречу. Я знаю, что EoIP работает внутри GRE, но перестали данные проблемы пугать за счет большого количества других маршрутов — даже если по какому-либо направлению такие проблемы всплывали — на них просто падал OSPF и по данному туннелю трафик не шел до восстановления корректной работы.
Как я говорил выше — в проде на всех площадках не один роутер по факту, но к теме это отношения имеет мало. За draw.io спасибо, буду иметь ввиду. Мониторим заббиксом по SNMP.
1) Пробовали ставить на место CCR 1100AHx2 — не тянул, там по факту кроме туннелей еще и OVPN, DHCP,DNS, куча правил firewall.
2,3,4) С тех пор уже не надо стало — арендовали L2VPN от разных провайдеров, обернули в IPSec и радуемся
5) Естественно нет)) Хотя когда-то были.
6) Возможно, но пока работает — трогать смысла не вижу.
7) OSPF запароленный в проде. Уж извините, но конфиг сюда я копировал с тестового стенда, а не с прода, что, впрочем, не отменяет его работоспособности.
8) Естественно. В проде туннели называются согласно именам локаций в которые собственно они ведут.
Да, раздражает, но тем не менее на восьми точках вполне работало на момент написания. С тех пор все сильно поменялось и фирма таки арендовала L2VPN между всеми офисами, так что теперь там все гораздо скучнее — просто IPSec с OSPF.
Насчет увеличения места на диске — а чем не устроил вариант описанный тут — http://forum.mikrotik.com/viewtopic.php?t=98981? ИМХО он проще несколько, чем описанное вами в статье.
У украинского привата, например, помимо 3d-secure еще и своя проверка на все непериодические платежи. Выглядит это так — при любой оплате меня перекидывает на страницу привата где я должен подтвердить оплату. Причем от настроек мерчанта не зависит совершенно(проверял, имеется биллинг для которого настраивал оплату через различные системы, в том числе и напрямую через банк. На время тестов 3d-secure был отключен, но проверка привата все равно была.)
Ок, согласен, в случае с файлами действительно лучше работать не регулярками. Но IP-то чем не провинились? Идеально описываются регуляркой, как впрочем и номера телефонов или любые другие жестко стандартизированные данные.
Интерфейсы на VLANах 77 и 94 — два интернет провайдера, туда натятся остальные VLAN(кроме 911). Интерфейсы на VLAN 100, 300,400,911 — локалки разного назначения(сервера, камеры, пользователи, Mgmt устройства). 400й влан бриджуется с Wi-Fi. На все VLAN действуют свои фильтры в файрволе + QoS и маршрутизация. Общую схему маршрутизации(без vrrp и VLAN) можете посмотреть тут — https://habrahabr.ru/sandbox/96643/ На момент написания VLANы и VRRP реализованы еще не были, да и не о них была статья.
В данный момент на всех микротиках из прошлой статьи настроены VLANы, бридж используется только внутри локации, весь обмен между локациями за счет маршрутизации.
Прошу прощения, неверно прочитал. В данный момент работают связки Mikrotik CCR 1016-12G и Mikrotik 1100AHx2 c:
1. Cisco Catalyst 2948G
2. Cisco sg200-50
3. D-Link DES 3200-52
4. HP 1910-24g
со второй стороны именно на этом конфиге стоит Cisco 2948G с настроенным trunk для VLAN 77,94,100,300,400,911 и native VLAN 200, через который работает vrrp(без тега) на ether1. Никаких проблем не наблюдаю. Настраивал по документации mikrotik.
2,3,4) С тех пор уже не надо стало — арендовали L2VPN от разных провайдеров, обернули в IPSec и радуемся
5) Естественно нет)) Хотя когда-то были.
6) Возможно, но пока работает — трогать смысла не вижу.
7) OSPF запароленный в проде. Уж извините, но конфиг сюда я копировал с тестового стенда, а не с прода, что, впрочем, не отменяет его работоспособности.
8) Естественно. В проде туннели называются согласно именам локаций в которые собственно они ведут.
В данный момент на всех микротиках из прошлой статьи настроены VLANы, бридж используется только внутри локации, весь обмен между локациями за счет маршрутизации.
1. Cisco Catalyst 2948G
2. Cisco sg200-50
3. D-Link DES 3200-52
4. HP 1910-24g
и неизвестными мне свитчами провайдеров.
/interface vrrp
add interface=ether1 interval=100ms name=VRRP_MAIN preemption-mode=no
/interface vlan
add interface=VRRP_MAIN name=SERVERS vlan-id=100
add comment=«Datagroup INET VLAN» interface=VRRP_MAIN name=DG_INET_VLAN vlan-id=77
add comment=«KS INET VLAN» interface=VRRP_MAIN name=KS_INET_VLAN vlan-id=94
add comment=«Management(172.16.0.0/24)» interface=VRRP_MAIN name=MGMT vlan-id=911
add comment=«Users(172.20.0.0/24)» interface=VRRP_MAIN name=USERS vlan-id=400
add comment=«SECURITY(192.168.3.0/24)» interface=VRRP_MAIN name=security vlan-id=300
со второй стороны именно на этом конфиге стоит Cisco 2948G с настроенным trunk для VLAN 77,94,100,300,400,911 и native VLAN 200, через который работает vrrp(без тега) на ether1. Никаких проблем не наблюдаю. Настраивал по документации mikrotik.