Межсетевой маршрутизация / L3 маршрутизация между двумя площадками.

Межсетевой маршрутизация / L3 маршрутизация между двумя площадками., UniFi Network

jkluza

Guest

16.05.2025 14:27:00

У меня есть два "сайта" между двумя зданиями. Для целей использования, эти сайты имеют свои Unifi stacks, но им нужно быть взаимосвязанными. В текущей конфигурации все работает как ожидается, но поскольку используется gateway для маршрутизации, пропускная способность очевидно ограничена. Основная цель взаимосвязи - резервное копирование, и они соединены 10GBE оптоволокном.

Текущая настройка (100% работоспособна, пропускная способность ограничена):

* Сайт 1 имеет локальную сеть VLAN 52 (gateway на UDM).
* Сайт 1 имеет локальную сеть VLAN 4000 с адресом x.x.5.0/30 и gateway IP .2 (gateway на UDM).
* Сайт 1 имеет 10GBE порт, подключенный к сайту 2, с родным тегом VLAN 4000 и блокировкой всех остальных.
* Сайт 1 имеет статический маршрут к сетям на сайте 2 (следующий hop .1).
* Сайт 2 имеет несколько локальных сетей.
* Сайт 2 имеет локальную сеть VLAN 4000 с адресом x.x.5.0/30 и gateway IP .1.
* Сайт 2 имеет 10 GBE порт, подключенный к сайту 1, с родным тегом VLAN 4000 и блокировкой всех остальных.
* Сайт 2 имеет статический маршрут к сети на сайте 1 (следующий hop .2).

Идеальная настройка:

* Сайт 1 – все вышеперечисленное, ЗА ИСКЛЮЧЕНИЕМ VLAN 52 и VLAN 4000, маршрутизируется на L3 коммутаторе на сайте 1 (я знаю, L3 – это скачок здесь, учитывая реализацию меж-VLAN маршрутизации).
* Сайт 2 – все вышеперечисленное, ЗА ИСКЛЮЧЕНИЕМ нескольких целевых VLAN и VLAN 4000, маршрутизируется на L3 коммутаторе.

Это ДОЛЖНО обеспечить полную пропускную способность 10GBE каналов с использованием меж-VLAN маршрутизации.

Проблемы:

Перенос маршрутизируемого интерфейса на L3 коммутатор на любом сайте работал как ожидалось. Меж-VLAN сеть 4040 настроена и маршрутизируется внутри сайта без проблем.

Как только VLAN 4000 (межсайтовая связь) переносится на L3 коммутатор на любом сайте, маршрутизация через канал все еще работает, но доступ к любой сети, которая не находится на этом L3, не маршрутизируется. Traceroute показывает переход через канал к следующему hop, но после этого просто обрывается.

На обоих сайтах я убедился, что изменил адресные пространства VLAN 4040, чтобы они не перекрывались.

Какие-нибудь идеи, почему L3 коммутатор с обеих сторон не маршрутизирует этот трафик к default route, чтобы UDM мог обработать этот трафик?

Unifi OS: 4.1.22
Network: 9.1.120
L3 коммутатор, используемый на сайте 1 - USW Enterprise 24 PoE.
L3 коммутатор, используемый на сайте 2 - USW Pro Aggregation

Я также пробовал USW Enterprise 24 PoE с обеих сторон, просто на случай, если это проблема с оборудованием Pro Ag или что-то подобное.

Буду признателен за любую помощь или мысли по этому поводу.

jkluza

Guest

17.05.2025 14:04:00

Конечно. Проверил перезагрузки L3-коммутаторов с обеих сторон. Никаких "костылей" тут нет. Единственное, что может быть переменной в этой конфигурации — это IP-адрес L3-коммутаторов, который они получают на VLAN4040. Я предполагаю, что он довольно статичен после первоначальной настройки. Все остальные маршруты и прочее настраиваются через консоли.

dlow Guest	#3 17.05.2025 01:24:00 Круто! А твоя конфигурация сохраняется после перезагрузки свитча?

jkluza Guest	#4 16.05.2025 19:38:00 Отличный успех! Теперь имеем полную пропускную способность по межсоединению! https://img.community.ui.com/41349966-8285-49f6-a56b-4b3475875467/answers/f19ee3b9-8a9b-4679-baec-60aa564ef1c2/88bfdacf-d59f-412e-9e31-2ad34ff55ea4 Спасибо, что слушали.

jkluza

Guest

16.05.2025 19:26:00

Да, я понимаю разницу между правилами брандмауэра и ACL, я просто утверждал, что, учитывая текущую конфигурацию, я не вижу, как это не повлияет на желаемую конфигурацию. У меня есть обновление, и я, кажется, близок к решению этой задачки!

На Сайте 1 у меня работает настройка с VLAN52 (локальная сеть) и VLAN4000 (соединительная сеть) на L3-коммутаторе, при этом локальные VLAN и соединительная сеть остаются на UDM на Сайте 2.

Суть в том, чтобы создать необходимые статические маршруты на L3-коммутаторе на Сайте 1 с целевыми сетями. Затем нужно понять, какой интерфейс межсетевого взаимодействия на L3-коммутаторе используется, чтобы перенаправлять трафик шлюза на сети Сайта 2 через этот интерфейс.

Итак:

Статический маршрут UDM:
Dest.Network - <site2_nets>
Type - Next Hop
Value <VLAN4040_address_of_L3_switch>

Статический маршрут L3_Switch:
Dest.Network - <site2_nets>
Type - Next Hop
Value <VLAN4000_adderess(x.x.5.1)>

Я буду воспроизводить это на Сайте 2, чтобы посмотреть, смогу ли я повторить успех, но по крайней мере сейчас маршрутизация L3 работает ассиметрично.

Нет способа увидеть, какие адреса VLAN4040 получает ваш L3-коммутатор из консоли. Для 24 PoE нужно зайти по SSH и ввести "cli" для получения доступа к интерфейсу коммутатора. Затем можно выполнить "show ip interface" и узнать, какой IP-адрес на этом коммутаторе. Для Pro Agg нужно зайти по SSH на коммутатор и затем использовать telnet для подключения к самому себе, чтобы получить доступ к CLI коммутатора. Затем можно выполнить "show ip vlan" и узнать IP-адрес для VLAN4040.

Кроме того, я пытался добавлять VLAN как записи шлюза третьей стороны и также явно добавлял L3 ACL на обеих сторонах, чтобы разрешить сетям перемещаться туда и обратно. Это никак не повлияло на конфигурацию.

dlow Guest	#6 16.05.2025 17:11:00 Шлюзы имеют правила брандмауэра с состоянием. L3-коммутаторы имеют бесстатистические ACL. Они кажутся похожими, но работают по-разному, и не всегда могут быть преобразованы друг в друга.

jkluza

Guest

16.05.2025 15:55:00

К сожалению, UDM в UDM не получится, так как между ними есть промежуточный узел, где находится точка разметки для взаимодействия. Я тестировал асимметрично, и результат тот же. Что я выяснил ранее: когда vlan52 на площадке номер один находится на L3 коммутаторе, адрес шлюза доступен на этом коммутаторе, но другие IP-адреса из этой сети (находящиеся на другом коммутаторе) — нет. На данном этапе никаких ACL не прописано, так как я не хотел усложнять конфигурацию, пока это не заработает. Я изучил коммутаторы и все локальные маршруты выглядят правильно, просто они не учитываются с точки зрения маршрутизации для использования маршрута по умолчанию. Я посмотрю ACL с системной точки зрения, чтобы понять, может ли это быть проблемой, но я бы ожидал, что в этом случае они должны быть применены к шлюзу, что сделает мою текущую конфигурацию непригодной. Спасибо за подсказку.

dlow Guest	#8 16.05.2025 15:08:00 Вау! Очень впечатляющее сетевое взаимодействие, чтобы добиться такого прогресса! 👏 Мы определенно находимся на неизведанной территории, и это официально не поддерживается. @UI-Team запрос на добавление функции для формальной поддержки этого ^^^. Обоснованное предположение… Unifi придерживается принципа блокировки трафика LAN на неизвестных VLAN и подсетях. То, что у вас получилось это запустить на UDMPs, ближе к багу, чем к функции. Попробуйте асимметричную настройку, начните с работающей UDMP к UDMP-связи. Затем ТОЛЬКО НА ОДНОМ САЙТЕ переходите к L3-коммутатору. Работает? Используйте Wireshark на обеих сторонах (компьютер на VLAN52 и другой на основной сети на другой стороне), проходят ли пакеты в одну сторону, но не в другую? Переверните асимметрию, другая UDMP + L3-коммутатор на другом сайте. Это даст некоторые подсказки о том, где происходит разрыв связи (вероятно, в L3-коммутаторе). Но происходит ли разрыв в обоих направлениях? Моя догадка, что должен быть ACL для трафика с VLAN4000 в остальную сеть. Подключитесь по SSH к коммутаторам и покопайтесь: Команда “cli” перебрасывает вас в командную строку, похожую на Cisco. “help”, “?” и “<tab>” - ваши друзья. Найдите ваш статический маршрут на другую сторону. Ищите любые ACL, которые могут блокировать "неизвестные" подсети. Вы также можете поработать с ACL от Site Controllers, чтобы разрешить трафик с зарубежных подсетей. Сайт 2 для VLAN52 подсети и Сайт 1 для (какую VLAN вы не указали) подсети через.

Читают тему (гостей: 1)