Перейти к содержимому
Калькуляторы

Отказоустойчивость VPN сети

Вы 13 микротиков поставите, вместо одного?

он, да!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отчего ж они "ненужные"? Их для галочки сделали чтоли? Если есть технология, почему бы ей не воспользоваться? А если у вас будет 12 провайдеров, Вы 13 микротиков поставите, вместо одного?

 

Для галочки.

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика.

 

12 провайдеров быть не может, потому что если есть потребность в отказоустойчивости, то подключают операторов по BGP, если не хватает скорости, то расширяю каналы. А сейчас указывается то, что делают пионеры, когда подключают себе 10 операторов по 1000р. со скоростью 100 мегабит, а после перепродают трафик по цене 500р. за 50 мегабит по радиоканалу=)

 

Не бывает "дефотл" маршрутов. Это жаргонизм. Бывают маршруты 0.0.0.0/0 и ничто не мешает им быть в нескольких экземплярах.

 

Не мешает, только работать будет один из них, если не прибегать к схемам управлением передачи пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

со стороны офиса один default gateway

кажется разговор шел про отказоустойчивость

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вставлю еще свои 5 копеек.

Когда рельно нужна отказоустойчивость и на хабе несколько операторов, то:

Покупается/арендуется /24 сетка, поднимается BGP со обоими(тремя, десятью) операторами.

 

На филиалах, когда один оператор - все понятно, когда два - на хабе делается два VPN концентратора на одном роутере, привязываются к разным /32 адресам из имеющегося /24. В филиалах просто статикой прописываются маршруты до разных /32 хаба через разных местных провайдеров. Внутри тоннелей уже все что хотитие: EIGRP, OSPF,IS-IS, RIP (гы-гы).

Дефолты переключать как душе угодно. от IP SLA до BGP.

 

Прошу заметить - и на хабе и в филиале по одному роутеру, а не по три некротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика.

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

Изменено пользователем devi11

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

 

Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

 

80-1.jpg

 

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

Например ДНС сервера это 2 разных отдельных сервера, потому что в настройках на компах указывают 2 днс сервера, при этом тут смысл в том, что если один перестанет работать, то второй возьмет на себя нагрузку. А не так, когда оба адреса указывают на одном устройстве.

Аналогично и другие функции - каждый решает свою задачу, что бы не было такого, когда поменяли одну настройку одной службы, а какая-то другая по не ясным причинам работать перестала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Двойное копирование это из ядра в юзерленд процесс, переключение контекста, жевание пакета, копирование п..

ну тогда ipsec

 

Прошу заметить - и на хабе и в филиале по одному роутеру,

они вон, отказоустойчивости хотят, по этому и три.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать.

 

Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать.

 

То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить.

 

То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут.

 

Только когда эта железка сломается, сразу все перестанет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наоборот, два дефолтных маршрута не могут быть по определению.

Показать? С тебя хорошее пиво.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

 

Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

 

80-1.jpg

 

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить.

Он уже надёжнее тика.

Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет.

Накатить ОС - это из здания выходить скорее всего не нужно.

Так что затраты не в пользу тика.

 

Только когда эта железка сломается, сразу все перестанет работать.

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть такой компьютер будет надежнее микротика?

http://forum.nag.ru/forum/index.php?showtopic=106633&view=findpost&p=1156454

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

там даже винт не нужен. USB Flash.

на одном read only образ системы, на другом конфиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут?

 

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :)

 

Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы.

 

Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет.

Накатить ОС - это из здания выходить скорее всего не нужно.

Так что затраты не в пользу тика.

 

То есть компьютер вы не покупали? Если берете какой-то старый, то его надо разобрать, почистить от пыли, проверить, если он не комплектный, подключить отсутствующие элементы. Далее записать операционку на CD или флешку, пройти процедуру установки и настройки, для чего нужно физически находится за компьютером перед монитором.

 

Вместо того, что бы достать микротик из коробки и подключиться по маку для первоначальной настройки.

 

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

 

Это если админ в серверной живет.

Если микротик сломался, достаточно вместо него поставить другой микротик. Если сломался ваш сервер, то простое перетыкание диска не поможет, потому что сетевые адаптеры будут другие и настройки к ним нужно привязывать по новой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы.

Эт ты с чего так решил то?

Судя по схеме, раз железки без наименований, то это точки подключения к провайдерам.

Возможно и железки но уже провайдеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

Поздравляю Вас!

Спокойная у вас жизнь.

А я вот не могу на минуту юзеров лишить интернета и VPN'а, поэтому и прошу отказоустойчивую схему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь.

1. В приведённой схеме только одна железка принимает каналы от операторов.

2. Если учесть что x900 - это L3 коммутаторы - то схема как раз для Вас. Добавить ещё один роутер(770s) и вперёд.

3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов.

Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов.

Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно.

Спасибо!

Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции.

Ну это смотря что и как считать.

 

Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

Ништяк. :-()

Ну прям по Саабу.

Тогда стопка CCR-ов вам в помощь. :)

 

Тут вроде про dmvpn уже упоминалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

 

Теперь понятно почему нельзя вешать все функции на одно устройство?

 

1. Когда у вас каждое устройство подключено только к одному провайдеру, не нужен Connection Tracking и Mangle Prerouting, следовательно нагрузить процессор в полочку вредоносным трафиком не выйдет.

2. Когда у вас каждое устройство подключено только к одному провайдеру, то выход его из строя не влечет перебои в работе сети, его можно легко заменить.

 

Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

 

Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать.

Ну а сам механизм VPN как обеспечить? 2 туннеля + OSPF? Или всё-таки бондинг? Или вообще BGP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.