Правильная сетевая архитектура для отказоустойчивой установки нескольких сетей WAN с несколькими зданиями

Мне нужна помощь с определением правильной сетевой архитектуры для гостевого развертывания WLAN. У нас есть 3 здания, и у каждого из них есть свой собственный маршрутизатор LTE (Mikrotik RB411U), подключенный к PoE Ubiquiti EdgeRouter (к eth0). Здания соединены мостами Ubiquiti NanoStation M5 с настройкой PtMP, так что Building 1 NanoStation является точкой доступа, а Building 2 и 3 NanoSations являются клиентами. Наностанции подключены к каждому PoE EdgeRouter к их eth1. Порты eth 2-4 имеют подключенные к ним точки доступа Ubiquiti Unifi.

Чего я хочу достичь:

• Один и тот же SSID во всех зданиях
• Беспроводные клиенты могут перемещаться между зданиями
• По умолчанию трафик идет от ближайшего маршрутизатора LTE (т.е. избегайте использования беспроводных мостов)
• Если какой-либо канал LTE выходит из строя, трафик автоматически направляется на маршрутизатор LTE в следующем здании через беспроводной мост
• Все беспроводные клиенты являются гостями, поэтому их трафик должен идти напрямую в Интернет. Они не должны видеть друг друга, но если они это делают, то все в порядке.

Точки доступа Unifi в настоящее время управляются контроллером Unifi, работающим в Amazon EC2, который работает нормально.

Вот что я попробовал:

• Все LTE модемы и EdgeRouters в сети 10.0.0.0/24
• Маскарадинг в интернет в роутерах LTE
• Все три EdgeRouter имеют коммутатор 0 (eth2-4) в сети 10.0.2.0/23, коммутатор 0 IP 10.0.2.1 для всех из них
• Все три EdgeRouter имеют DHCP-сервер, который дает непересекающиеся IP-адреса: 10.0.2.100-10.0.2.199, 10.0.3.1-10.0.3.99, 10.0.3.100-10.0.3.199, шлюз по умолчанию для беспроводных клиентов 10.0.2.1.
• 10.0.2.1 шлюз по умолчанию использовался так, чтобы аренда DHCP, предоставленная любым сервером DHCP, была действительной во всех зданиях

Что не сработало:

• Я не знал, как настроить резервные маршруты. Все примеры основаны на сценариях, в которых глобальные сети подключены напрямую к eth0 и eth1 EdgeRouter. Мой маршрут резервного копирования подключен к другому EdgeRouter через беспроводной мост.
• Хотя поначалу использование одного шлюза по умолчанию во всех EdgeRouters показалось хорошей идеей (gw будет 10.0.2.1 независимо от того, к какому EdgeRouter подключен беспроводной клиент), адреса ARP не совпадают. Роуминг начал работать только после обновления ARP-кэша беспроводного клиента.

Что я рассмотрел, но нужна ваша помощь с:

• OSPF для управления маршрутами и избыточности? И Mikrotik, и EdgeRouters поддерживают OSPF.
• Политика на основе маршрутизации?
• Все здания в разных VLAN с разными DHCP-серверами
• Я попробовал балансировку нагрузки EdgeRouter при отказе, но это работало только в сценарии с одним зданием, когда к одному EdgeRouter было подключено два интернет-провайдера.
• Один или несколько DHCP-серверов? Где это должно быть?
• У меня есть четвертый EdgeRouter PoE, который можно использовать при необходимости.

По сути, я открыт для любых предложений по архитектуре сети. Я строю это с нуля, используя следующие компоненты: 3 маршрутизатора LTE, 4 EdgeRouter PoE, 4 NanoStation M5, множество точек доступа Unifi. Мне не нужно беспокоиться о каких-либо старых сетевых настройках, поэтому все, что вы предлагаете, может быть реализовано.