Отказоустойчивость VPN сети

zi_rus · August 14, 2015

Вы 13 микротиков поставите, вместо одного?

он, да!

Saab95 · August 14, 2015

Отчего ж они "ненужные"? Их для галочки сделали чтоли? Если есть технология, почему бы ей не воспользоваться? А если у вас будет 12 провайдеров, Вы 13 микротиков поставите, вместо одного?

Для галочки.

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика.

12 провайдеров быть не может, потому что если есть потребность в отказоустойчивости, то подключают операторов по BGP, если не хватает скорости, то расширяю каналы. А сейчас указывается то, что делают пионеры, когда подключают себе 10 операторов по 1000р. со скоростью 100 мегабит, а после перепродают трафик по цене 500р. за 50 мегабит по радиоканалу=)

Не бывает "дефотл" маршрутов. Это жаргонизм. Бывают маршруты 0.0.0.0/0 и ничто не мешает им быть в нескольких экземплярах.

Не мешает, только работать будет один из них, если не прибегать к схемам управлением передачи пакетов.

zi_rus · August 14, 2015

со стороны офиса один default gateway

кажется разговор шел про отказоустойчивость

ShyLion · August 14, 2015

Вставлю еще свои 5 копеек.

Когда рельно нужна отказоустойчивость и на хабе несколько операторов, то:

Покупается/арендуется /24 сетка, поднимается BGP со обоими(тремя, десятью) операторами.

На филиалах, когда один оператор - все понятно, когда два - на хабе делается два VPN концентратора на одном роутере, привязываются к разным /32 адресам из имеющегося /24. В филиалах просто статикой прописываются маршруты до разных /32 хаба через разных местных провайдеров. Внутри тоннелей уже все что хотитие: EIGRP, OSPF,IS-IS, RIP (гы-гы).

Дефолты переключать как душе угодно. от IP SLA до BGP.

Прошу заметить - и на хабе и в филиале по одному роутеру, а не по три некротика.

devi11 · August 14, 2015

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика.

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

Edited August 14, 2015 by devi11

Saab95 · August 14, 2015

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

Например ДНС сервера это 2 разных отдельных сервера, потому что в настройках на компах указывают 2 днс сервера, при этом тут смысл в том, что если один перестанет работать, то второй возьмет на себя нагрузку. А не так, когда оба адреса указывают на одном устройстве.

Аналогично и другие функции - каждый решает свою задачу, что бы не было такого, когда поменяли одну настройку одной службы, а какая-то другая по не ясным причинам работать перестала.

stas_k · August 14, 2015

Двойное копирование это из ядра в юзерленд процесс, переключение контекста, жевание пакета, копирование п..

ну тогда ipsec

Прошу заметить - и на хабе и в филиале по одному роутеру,

они вон, отказоустойчивости хотят, по этому и три.

:)

Ivan_83 · August 14, 2015

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать.

Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут.

Saab95 · August 15, 2015

Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать.

То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить.

То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут.

Только когда эта железка сломается, сразу все перестанет работать.

myst · August 15, 2015

Наоборот, два дефолтных маршрута не могут быть по определению.

Показать? С тебя хорошее пиво.

xaker1 · August 15, 2015

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :)

Ivan_83 · August 15, 2015

То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить.

Он уже надёжнее тика.

Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет.

Накатить ОС - это из здания выходить скорее всего не нужно.

Так что затраты не в пользу тика.

Только когда эта железка сломается, сразу все перестанет работать.

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

pppoetest · August 16, 2015

То есть такой компьютер будет надежнее микротика?

http://forum.nag.ru/forum/index.php?showtopic=106633&view=findpost&p=1156454

stas_k · August 16, 2015

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

там даже винт не нужен. USB Flash.

на одном read only образ системы, на другом конфиг.

devi11 · August 17, 2015

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут?

GrandPr1de · August 17, 2015

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут?

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

Saab95 · August 17, 2015

И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :)

Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы.

Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет.

Накатить ОС - это из здания выходить скорее всего не нужно.

Так что затраты не в пользу тика.

То есть компьютер вы не покупали? Если берете какой-то старый, то его надо разобрать, почистить от пыли, проверить, если он не комплектный, подключить отсутствующие элементы. Далее записать операционку на CD или флешку, пройти процедуру установки и настройки, для чего нужно физически находится за компьютером перед монитором.

Вместо того, что бы достать микротик из коробки и подключиться по маку для первоначальной настройки.

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

Это если админ в серверной живет.

Если микротик сломался, достаточно вместо него поставить другой микротик. Если сломался ваш сервер, то простое перетыкание диска не поможет, потому что сетевые адаптеры будут другие и настройки к ним нужно привязывать по новой.

NikAlexAn · August 17, 2015

Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы.

Эт ты с чего так решил то?

Судя по схеме, раз железки без наименований, то это точки подключения к провайдерам.

Возможно и железки но уже провайдеров.

devi11 · August 17, 2015

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

Поздравляю Вас!

Спокойная у вас жизнь.

А я вот не могу на минуту юзеров лишить интернета и VPN'а, поэтому и прошу отказоустойчивую схему.

devi11 · August 17, 2015

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь.

NikAlexAn · August 17, 2015

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь.

1. В приведённой схеме только одна железка принимает каналы от операторов.

2. Если учесть что x900 - это L3 коммутаторы - то схема как раз для Вас. Добавить ещё один роутер(770s) и вперёд.

3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов.

Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно.

devi11 · August 17, 2015

3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов.

Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно.

Спасибо!

Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

NikAlexAn · August 17, 2015

Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции.

Ну это смотря что и как считать.

Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

Ништяк. :-()

Ну прям по Саабу.

Тогда стопка CCR-ов вам в помощь. :)

Тут вроде про dmvpn уже упоминалось.

Saab95 · August 17, 2015

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

Теперь понятно почему нельзя вешать все функции на одно устройство?

1. Когда у вас каждое устройство подключено только к одному провайдеру, не нужен Connection Tracking и Mangle Prerouting, следовательно нагрузить процессор в полочку вредоносным трафиком не выйдет.

2. Когда у вас каждое устройство подключено только к одному провайдеру, то выход его из строя не влечет перебои в работе сети, его можно легко заменить.

Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать.

devi11 · August 17, 2015

Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать.

Ну а сам механизм VPN как обеспечить? 2 туннеля + OSPF? Или всё-таки бондинг? Или вообще BGP?

Sign In

Отказоустойчивость VPN сети

Recommended Posts

zi_rus

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Saab95

zi_rus

ShyLion

devi11

Saab95

stas_k

Ivan_83

Saab95

myst

xaker1

Ivan_83

pppoetest

stas_k

devi11

GrandPr1de

Saab95

NikAlexAn

devi11

devi11

NikAlexAn

devi11

NikAlexAn

Saab95

devi11

Join the conversation