Peplink High Availability (HA) ile 1+1 Hardware Yedekleme Nasıl Yapılır?

Peplink HA, VRRP temelli bir protokoldür ve standart VRRP protokolüne göre aşağıdaki şekildeki gibi hem IP adresi ve hem de MAC adresi ortak kullanır.

 

VIP adresinin MAC adresi hep aynı kaldığından Switch’in ARP tablosunda bir değişiklik olmaz. Master kapandığında, sadece Switch’in MAC tablosunu  MAC learning mekanizması ile hızlıca güncellemesi yeterlidir. Bu işlemi hızlandırmak için bazen Gratious ARP ‘da kullanılabilir.

 

MASTER Peplink’in LAN bacağı kesildiğinde veya elektriksel olarak kapandığında bu MAC learning hızlı olabilir. Ancak Master Peplink’in tüm WAN arayüzleri düştüğünde de Slave Peplink hızlıca Master görevini üstlenebilmelidir.

 

 

Peplink, sadece LAN portlarında VRRP kullanır. WAN bacaklarında VRRP kullanılmaz. HA modda çalışan Peplink1 ve Peplink2’nin WAN IP adresleri aynıdır. Örneğin Peplink1-WAN1:77.2.2.2/29 ise Peplink2-WAN1: 77.2.2.2/29 ‘dur.  Bu da çok büyük bir konfigürasyon kolaylığı ve basitliği sağlar.

 

Temel olarak 1 + 1 Donanım yedekleme ile MASTER cihazda problem olduğunda, SLAVE cihaz görevi deviralır ve tüm LAN trafiğini işler.

 

Master ünite, VRRP heartbit paketlerini bir VRRP spesifik multicast adresine gönderir. Slave ünite, tanımlı bir zaman diliminde bu mesajları alamazsa, Master’ın sorumluluklarını üstlenir. Yani artık MASTER, Slave ünitedir.

 

Peki hangi durumlarda Slave ünite, MASTER görevini üstlenecektir;

  1. MASTER ünite’nin LAN bağlantısı kesildiğinde
  2. MASTER ünite, elektriksel olarak kapandığında
  3. MASTER ünite, tüm WAN bağlantılarını kaybettiğinde

 

Hangi Peplink modelleri HA (VRRP) destekler?

  • Peplink MAX-BR1-M2M ve MAX-BR1-SLIM haricinde tüm MAX-BR1 serisi,
  • Tüm MAX-HD2/HD4 serisi,
  • Tüm MAX outdoor serisi,
  • Balance serisinde 30 PRO, 210, 310X modelleri,
  • Large Enterprise ürün gamındaki SDX, EPX, MBX modelleri

High Availability özelliğini destekler.

 

(HA) ile 1+1 Hardware Yedekleme – NAT mode

 

 

Yukarıdaki örnekte, HA çiftine bir HA Grubu ( VRRP Group 20 )  20 atanır. Sanal IP adresi (VIP) 192.168.10.1, LAN segmentindeki tüm ethernet cihazlarıniçin varsayılan ağ geçididir, bu da bu ethernet cihazlarının ( PC, IP telefon, AP vs ) tümüğnde varsayılan ağ geçidi olarak VIP adresinin tanımlanması anlamına gelir. dengenin arkasında oturan cihazlar için varsayılan ağ geçidinin VIP olarak ayarlanması gerektiği anlamına gelir. HA üyeleri aynı LAN IP subnet’de olmalı ve HA çiftinde aynı HA grup tanımlayıcısı kullanılmalıdır.

 

Her bir ISP bağlantısını ayırmak için ek Ethernet anahtarları gereklidir, böylece Master ve Slave Balance cihazları her iki ISP’ye bağlantı kurabilir. Tek bir arıza noktasını ( Single Point of Failure)  önlemek için iki ayrı Ethernet anahtarları kullanılması önerilir, aksi takdirde 1+1 yedekleme konseptinin amacını yerine getiremeyiz.

 

Bu örnekte, MASTER Peplink ünitesi 192.168.10.2’yi LAN IP’si olarak kullanacak, SLAVE Peplink ünitesi 192.168.10.3’ü LAN IP’si olarak kullanacaktır. Hem Master hem de Slave üniteleri aynı VIP 192.168.10.1’i kullanır. Bu VIP 192.168.10.1, LAN segmentinde oturan tüm ana bilgisayarlar için varsayılan ağ geçidi olacaktır.

 

HA için MASTER Konfigürasyonu

  1. Network > Misc. Settings > High availability yolu ile HA özelliğini enable edin.
  2. Aşağıdaki ayarları girin ve sonra Save ile çıkın.
    • Grup numarası: (HA çifti için aynı numarayı kullanın)
    • Preferred Role: MASTER seçin
    • Resume Master Role Upon Recovery: ( Master, master rolünü kaybetti ve sonradan ayağa kalktığında tekrar master rolünü üstlenmesi için bu özelliği aktif edin. U özellik aktif edilmezse, Slave bir kez Master rolünü üstlendiğinde belirtilen koşullara göre rolünü kaybedene kadar Master rolüne devam edecektir.)
    • Virtual IP: (LAN IP subnet’inden bir IP adresi verin )
  3. (Not: VIP ve LAN Yönetim IP’si aynı IP subnet’den olmalıdır.)
  4. Ayarları etkinleştirmek için sağ üst bölümdeki ( Apply Changes ) değişiklikleri Uygula’yı tıklatın.

 

HA için SLAVE Konfigürasyonu – Configuration sync. özelliği ile

 

  1. Network > Misc. Settings > High availability yolu ile HA özelliğini enable edin.
  2. Aşağıdaki ayarları girin ve sonra Save ile çıkın.
    • Grup numarası: (HA çifti için aynı numarayı kullanın)
    • Preferred Role: SLAVE seçin
    • Configuration Sync. seçeneğini aktif edin. Ve Master ünitenin Seri numarasını girin. Ayarları aktif etmeden önce LAN IP addres’ini LAN ayarlarında yapmış olmalısınız. Aşağıdaki resimde görüldüğü gini Slave ünitenin LAN IP adresi 192.168.10.3 verilmiştir.Aşağıdaki Master’dan  Resume Master
    • Ayarlar uygulandığı anda Slave ünite, Master üniteye bağlanacak ve konfigürasyonu yükleyecektir. Konfigürasyonun eşitlendiğini “Successful) mesajı ile göreceksiniz.
    • Bu işlemden sonra, Slave ünitenin web Admin arabirimi kilitlenecektir. Artık ayarları Master ünite üzerinden yapabilirsiniz.

 

HA için SLAVE Konfigürasyonu – Manual yöntem ile

 

  1. MASTER ünitede System > Configuration yolu ile “Download Active Configuration” ile konfigürasyonu bilgisayarınıza kayıt edin.
  2. SLAVE ünitede System > Configuration yolu ile “Upload Configuration from High Availability Pair” ile konfigürasyonu yükleyin.
  3. Yüklenen konfigürasyon “Apply changes” yapmadan aktif olmaz. “Apply changes” yapmadan önce LAN IP adresini değiştirin. Network > High Availability ayarlarında “Preffered role”’ü Slave olarak değiştirin.
  4. Artık “Apply changes” yapabilirsiniz.
  5. Bu yöntemde Slave ünite Web Admin ile erişilebilir durumdadır. “Configuration Sync.” aktif edilmediğinden Master’da yaptığınız her ayarı manual olarak Slave ünitede de yapmalısınız.

 

(HA) ile 1+1 Hardware Yedekleme – Drop-In mode

Drop-In mode nedir?

Drop-In mode, Transparent mode veya In-line Bridge mode olarak değerlendirilebilir. Firewall ve önünde ( WAN arayüzünde) bir DSL/MetroEthernet router olduğunu düşünün. Peplink ünitesi ön taraftaki router ile arka taraftaki Firewall WAN bacağı arasında transparent olarak konumlanır. Firewall’un default gateway’i değişmez, eskiden olduğu gibi DSL router’dır. Firewall WAN bacağındaki NAT tanımları değişmez. Peplink elektriksel olarak kapandığında LAN Bypass mode ile kablo gibi davranır ve Firewall, kesintisiz olarak internet hizmeti vermeye devam eder.

 

Peplink’in birden fazla WAN bacağı mevcuttur. Drop-In mode sadece tek bir WAN bacağında çalışır. Örneğin Peplink’in WAN1, WAN2, WAN3 ve LAN bacakları olduğunu düşünelim. WAN1 ile LAN bacağı Drop-In modda birbirine bridge edilmiş olur. İç ağdan ( Firewall üzeirnden ) Peplink’in LAN bacağına gelen trafik ya transparent ( IP, NAT hiçbirşey değişmez) olarak WAN1 üzerinden akar ya da Outbound Policy ( bir tür PBR) kurallarına göre WAN2 ve WAN3 üzerinden akar.

 

Aşağıdaki örnek topolojiye göre HA ayarlarını inceleyebilirsiniz.

 

 

“Configurastion Sync” aktifken Firmware güncelleştirmeyi nasıl yaparım?

  1. Slave ünitenin web Admin arabirimine girin. Menülerin kilitli olduğunu göreceksiniz.

“Configuration Sync” özelliğini kapatın. Artık menülerin kilidi kalkacaktır.

  1. Slave ünitenin LAN kablosunu çıkarın.
  2. Slave üniteyi System > Firmware > Manual Firmware upgrade yolu ile güncelleyin.
  3. Slave Ünite reboot olarak ve tekrar eriştiğinizde LAN bağlantısını bağlayın
  4. Master ünitenin LAN bağlantısını kesin. Slave Ünite , MASTER rolü ile trafiği üstüne alacaktır. Kesinti sadece Recovery time ( 10-15 saniye ) kadar olacaktır.
  5. Bu esnada Master ünitede Firmware upgrade işlemini yapabilirsiniz.
  6. Master cihazın LAN bağlantısnı tekrar bağladığınızda Master cihaz tekrar MASTER rolünü üstlenecektir.
  7. Slave üniteye erişin ve Configuration Sync” özelliğini tekrar aktif edin.
  8. Özet olarak Failover ve Failback olarak iki kez kesinti yaşanacak. Master ünitede “Resume Master Role Upon Recovery” inaktif bırakılırsa kesintiyi bire indirmek de mümkün.

Peplink HA – Önemli Notlar;

  • Peplink’in HA özelliği ile 3. Parti Router veya Firewall üniteleri ile VRRP yapmak mümkün midir?

Evet. Peplink’in HA özelliği VRRP ile tam uyumludur.

  • HA moddaki Peplink üniteler, LAN tarafında Core Switch veya Firewall ile OSPF konuşuyorsa, OSPF bağlantısı için VIP adresini değil LAN IP adreslerini kullanırlar.
  • HA moddaki Peplink üniteler aynı model olmalıdır.
  • HA moddaki üniteler LAN bacağı ve Untagged VLAN üzerinden HA ilişkisi kurarlar ve Config sync işlemini yaparlar
  • Drop-In modda istenen WAN portu seçilebilir. Sadece bir WAN portunda Lan-Bypass özelliği varken diğer WAN portlarında yoktur. Drop-in modda LAN-Bypass özelliği olan WAN portunu seçerseniz High Availability devre dışı kalır.