Перейти к содержимому
Калькуляторы

Отказоустойчивость VPN сети

У человека уже есть микротик, и его "что-то" не устраивает.

 

Настраивают его не правильно, вот и не устраивает.

 

как-то у сааба неправильно маркетинг работает...

вот я ни разу не держал МТ в руках, а уже после прочтения "сообщений" от этого продавана покупать не хочется и всех своих буду отговаривать

 

Проблема в том, что микротик надо настраивать по микротиковски, а не по аналогии с цисками или коммутаторами. Если админ все время настраивал коммутаторы, циски, сервера с линуксом, то он будет, по привычке, пытаться все сделать по старинке, что не совместимо с микротиком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать.

 

То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить.

 

То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут.

 

Только когда эта железка сломается, сразу все перестанет работать.

 

и при этом вы упорно ставите третий микротик, который если сломается, то у вас сломается всё:) или если делить роли, то должно быть два "третих" которые бы друг друга резервировали и представляли из себя "ядро/агрегацию/доступ". или на 1-ом и 2-ом нужен VRRP, чтобы не положить всё сеть при погорании всего одной железки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и при этом вы упорно ставите третий микротик, который если сломается, то у вас сломается всё:) или если делить роли, то должно быть два "третих" которые бы друг друга резервировали и представляли из себя "ядро/агрегацию/доступ". или на 1-ом и 2-ом нужен VRRP, чтобы не положить всё сеть при погорании всего одной железки.

 

Микротик, просто так, не ломается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и при этом вы упорно ставите третий микротик, который если сломается, то у вас сломается всё:) или если делить роли, то должно быть два "третих" которые бы друг друга резервировали и представляли из себя "ядро/агрегацию/доступ". или на 1-ом и 2-ом нужен VRRP, чтобы не положить всё сеть при погорании всего одной железки.

 

Микротик, просто так, не ломается.

 

просто так ничего не ломается, однако, это происходит. Если уж рисовать отказоустойчивость, то завязываться на одной железке - это значит отдать всё на волю случая.

Можжет и не сломается, а вдруг сломается? что будете делаьть? ехать на удалённую локацию, лететь на самолёте, бежать на лыжах по сугробам?:)

 

уж vrrp никто не мешает настроить и время простоя это нисколько не увеличит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

просто так ничего не ломается, однако, это происходит. Если уж рисовать отказоустойчивость, то завязываться на одной железке - это значит отдать всё на волю случая.

Можжет и не сломается, а вдруг сломается? что будете делаьть? ехать на удалённую локацию, лететь на самолёте, бежать на лыжах по сугробам?:)

 

Что бы обезопасить себя можно поставить 4 микротик.

 

уж vrrp никто не мешает настроить и время простоя это нисколько не увеличит.

 

Это устаревшая технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

просто так ничего не ломается, однако, это происходит. Если уж рисовать отказоустойчивость, то завязываться на одной железке - это значит отдать всё на волю случая.

Можжет и не сломается, а вдруг сломается? что будете делаьть? ехать на удалённую локацию, лететь на самолёте, бежать на лыжах по сугробам?:)

 

Что бы обезопасить себя можно поставить 4 микротик.

 

уж vrrp никто не мешает настроить и время простоя это нисколько не увеличит.

 

Это устаревшая технология.

 

ну с четвёртым всё равно будет беда. ведь сервер ваш будет на какой-то один зацеплен, так? всё равно надо какую-то HA группу собирать из двух железяк.

с микротиками не имел дела. если они могут в какую-то другую отказоустойчивую конфигурацию(кластер или что-то своё), то лучше её использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не могут они кластера, это бедолага сааб пытается все списать на устаревшие технологии

вся их отказоусточивость ставить N*3 штук

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну с четвёртым всё равно будет беда. ведь сервер ваш будет на какой-то один зацеплен, так? всё равно надо какую-то HA группу собирать из двух железяк.

с микротиками не имел дела. если они могут в какую-то другую отказоустойчивую конфигурацию(кластер или что-то своё), то лучше её использовать.

 

Достаточно на двух микротиках просто повесить один и тот же адрес, при этом имея связанность по OSPF, они будут передавать данные с резервированием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и при этом вы упорно ставите третий микротик, который если сломается, то у вас сломается всё:) или если делить роли, то должно быть два "третих" которые бы друг друга резервировали и представляли из себя "ядро/агрегацию/доступ". или на 1-ом и 2-ом нужен VRRP, чтобы не положить всё сеть при погорании всего одной железки.

 

Микротик, просто так, не ломается.

о, даа! и мемликов нет, и другие ресурсы не текут.

 

На микротике у OSPF задается время жизни канала, если нет связи, обычно это 40 секунд. Можно поставить меньше, хоть 1 секунду. Если и одной секунды много, включаете BFD и ставите время 0.1 секунду.

а можно включить fast hello и радоваться жизни.

 

При использовании микротика все работает штатными средствами протоколов, без использования скриптов.

кстати, про штатные средства. а как резервируется nat в микротике?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати, про штатные средства. а как резервируется nat в микротике?

 

Через OSPF все резервируется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати, про штатные средства. а как резервируется nat в микротике?

 

Через OSPF все резервируется.

ненене. вот у нас роутер, который натит какую-нибудь в 192.168.0.0/16 в адрес внешнего интерфейса. рядом второй такой же, но в standby.

если мы сейчас active расстреляем из гранатомёта, у клиентов tcp-сессии порвутся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати, про штатные средства. а как резервируется nat в микротике?

 

Через OSPF все резервируется.

ненене. вот у нас роутер, который натит какую-нибудь в 192.168.0.0/16 в адрес внешнего интерфейса. рядом второй такой же, но в standby.

если мы сейчас active расстреляем из гранатомёта, у клиентов tcp-сессии порвутся?

большие у вас запросы от сохо поделки >.<

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну с четвёртым всё равно будет беда. ведь сервер ваш будет на какой-то один зацеплен, так? всё равно надо какую-то HA группу собирать из двух железяк.

с микротиками не имел дела. если они могут в какую-то другую отказоустойчивую конфигурацию(кластер или что-то своё), то лучше её использовать.

 

Достаточно на двух микротиках просто повесить один и тот же адрес, при этом имея связанность по OSPF, они будут передавать данные с резервированием.

 

супер решение. пять баллов! это из той же оперый, что и "два маршрута по умолчанию".

Любой нормально настроеный промежуточный свич должен такое зарубать. Зачем велосипед изобретать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Любой нормально настроеный промежуточный свич должен такое зарубать.

Нормально настроенные свичи - это устаревшая технология. ТруЪ-одмины все строят на тупариках :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

супер решение. пять баллов! это из той же оперый, что и "два маршрута по умолчанию".

Любой нормально настроеный промежуточный свич должен такое зарубать. Зачем велосипед изобретать?

 

Почему же? Если в сети один IP адрес расположен на двух устройствах, то все другие устройства сети, передавая данные на этот адрес, отправят их на любой из двух, при этом каждое устройство примет пакет и отправить его по L3 дальше. Однако отвечать на них будет только одно устройство, пока работает.

 

ненене. вот у нас роутер, который натит какую-нибудь в 192.168.0.0/16 в адрес внешнего интерфейса. рядом второй такой же, но в standby.

если мы сейчас active расстреляем из гранатомёта, у клиентов tcp-сессии порвутся?

 

Что бы такого не случалось натить надо там, где ничего не ломается, а все другие устройства работают роутерами, а роутеры tcp сессии не терминируют, поэтому переключение маршрута не приведет к обрывам соединений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему же? Если в сети один IP адрес расположен на двух устройствах, то все другие устройства сети, передавая данные на этот адрес, отправят их на любой из двух, при этом каждое устройство примет пакет и отправить его по L3 дальше. Однако отвечать на них будет только одно устройство, пока работает.

Вам явно просто необходимо почитать внимательно про ARP и, до кучи, про VRRP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95 Вам явно просто необходимо почитать

Это не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересная тема, как правильно зарезервировать.

пара Dlink DGS 3420-24 с DPS-500 в стеке, сервера с двумя блоками питания на разных ИБП от разных вводов, в серверах по двух портовому сетевому адаптеру в 10Г

 

И тут образуется интернет - пара операторов, разная статика в 1 IP адрес приходит по оптике в SFP и по меди

 

как зарезервировать интернет ? на данный момент стоит RB2011, в который приходит оба оператора и маркировкой соединений все разруливается, до филиалов подняты ip2ip и osfp

 

как зарезервировать mikrotik ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ненене. вот у нас роутер, который натит какую-нибудь в 192.168.0.0/16 в адрес внешнего интерфейса. рядом второй такой же, но в standby.

если мы сейчас active расстреляем из гранатомёта, у клиентов tcp-сессии порвутся?

Что бы такого не случалось натить надо там, где ничего не ломается, а все другие устройства работают роутерами, а роутеры tcp сессии не терминируют, поэтому переключение маршрута не приведет к обрывам соединений.

а нат у нас что, терминирует tcp сессии? или нат - это не роутер? :)

 

как зарезервировать mikrotik ?

божество не резервируют! кощунство!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

божество не резервируют! кощунство!

А по теме ? vrrp в сторону провайдера ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А по теме ? vrrp в сторону провайдера ?

Для работы VRRP, HSRP, GLBP нужны минимум сетки по 8 адресов на стыках. И протокол резервирования нужно поднимать в обе стороны.

Протоколы разработаны для резервирования шлюзов - соответсвенно с НАТ и вторым провайдером там не всё так просто. Нужно чтоб на внешнем и внутреннем интерфейсе ведущие в группах как то синхронизировались.

Вроде как для HSRP у киски есть какой то траккинг.

Ещё встречал подобный механизм для VRRP у маршрутизаторов RuggedCom.

У VyOS анонсировано резервирование НАТа с синхронизацией conntrack - но не смотрел как там и что.

Как нечто подобное реализовать на микротиках - не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как нечто подобное реализовать на микротиках - не знаю.

 

Ставите 3 микротика, 2 делают НАТ, третий сливает на них трафик сети. Оба сервера анонсируют дефолт, трафик распределяется по IP абонентов случайным образом. Если один сервер выходит из строя, маршрут пропадает и половина абонентов переключается на оставшийся в работе микротик, естественно, все их соединения обрываются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.