Jump to content
Калькуляторы

Отказоустойчивость VPN сети

Отчего ж они "ненужные"? Их для галочки сделали чтоли? Если есть технология, почему бы ей не воспользоваться? А если у вас будет 12 провайдеров, Вы 13 микротиков поставите, вместо одного?

 

Для галочки.

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика.

 

12 провайдеров быть не может, потому что если есть потребность в отказоустойчивости, то подключают операторов по BGP, если не хватает скорости, то расширяю каналы. А сейчас указывается то, что делают пионеры, когда подключают себе 10 операторов по 1000р. со скоростью 100 мегабит, а после перепродают трафик по цене 500р. за 50 мегабит по радиоканалу=)

 

Не бывает "дефотл" маршрутов. Это жаргонизм. Бывают маршруты 0.0.0.0/0 и ничто не мешает им быть в нескольких экземплярах.

 

Не мешает, только работать будет один из них, если не прибегать к схемам управлением передачи пакетов.

Share this post


Link to post
Share on other sites

со стороны офиса один default gateway

кажется разговор шел про отказоустойчивость

Share this post


Link to post
Share on other sites

Вставлю еще свои 5 копеек.

Когда рельно нужна отказоустойчивость и на хабе несколько операторов, то:

Покупается/арендуется /24 сетка, поднимается BGP со обоими(тремя, десятью) операторами.

 

На филиалах, когда один оператор - все понятно, когда два - на хабе делается два VPN концентратора на одном роутере, привязываются к разным /32 адресам из имеющегося /24. В филиалах просто статикой прописываются маршруты до разных /32 хаба через разных местных провайдеров. Внутри тоннелей уже все что хотитие: EIGRP, OSPF,IS-IS, RIP (гы-гы).

Дефолты переключать как душе угодно. от IP SLA до BGP.

 

Прошу заметить - и на хабе и в филиале по одному роутеру, а не по три некротика.

Share this post


Link to post
Share on other sites

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика.

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

Edited by devi11

Share this post


Link to post
Share on other sites

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

 

Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

 

80-1.jpg

 

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

Например ДНС сервера это 2 разных отдельных сервера, потому что в настройках на компах указывают 2 днс сервера, при этом тут смысл в том, что если один перестанет работать, то второй возьмет на себя нагрузку. А не так, когда оба адреса указывают на одном устройстве.

Аналогично и другие функции - каждый решает свою задачу, что бы не было такого, когда поменяли одну настройку одной службы, а какая-то другая по не ясным причинам работать перестала.

Share this post


Link to post
Share on other sites

Двойное копирование это из ядра в юзерленд процесс, переключение контекста, жевание пакета, копирование п..

ну тогда ipsec

 

Прошу заметить - и на хабе и в филиале по одному роутеру,

они вон, отказоустойчивости хотят, по этому и три.

:)

Share this post


Link to post
Share on other sites

Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы.

Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать.

 

Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут.

Share this post


Link to post
Share on other sites

Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать.

 

То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить.

 

То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут.

 

Только когда эта железка сломается, сразу все перестанет работать.

Share this post


Link to post
Share on other sites

А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке.

 

Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких:

 

80-1.jpg

 

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :)

Share this post


Link to post
Share on other sites

То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить.

Он уже надёжнее тика.

Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет.

Накатить ОС - это из здания выходить скорее всего не нужно.

Так что затраты не в пользу тика.

 

Только когда эта железка сломается, сразу все перестанет работать.

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Share this post


Link to post
Share on other sites

То есть такой компьютер будет надежнее микротика?

http://forum.nag.ru/forum/index.php?showtopic=106633&view=findpost&p=1156454

Share this post


Link to post
Share on other sites

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

там даже винт не нужен. USB Flash.

на одном read only образ системы, на другом конфиг.

Share this post


Link to post
Share on other sites

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут?

Share this post


Link to post
Share on other sites

Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались.

Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут?

 

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

Share this post


Link to post
Share on other sites

И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :)

 

Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы.

 

Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет.

Накатить ОС - это из здания выходить скорее всего не нужно.

Так что затраты не в пользу тика.

 

То есть компьютер вы не покупали? Если берете какой-то старый, то его надо разобрать, почистить от пыли, проверить, если он не комплектный, подключить отсутствующие элементы. Далее записать операционку на CD или флешку, пройти процедуру установки и настройки, для чего нужно физически находится за компьютером перед монитором.

 

Вместо того, что бы достать микротик из коробки и подключиться по маку для первоначальной настройки.

 

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

 

Это если админ в серверной живет.

Если микротик сломался, достаточно вместо него поставить другой микротик. Если сломался ваш сервер, то простое перетыкание диска не поможет, потому что сетевые адаптеры будут другие и настройки к ним нужно привязывать по новой.

Share this post


Link to post
Share on other sites

Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы.

Эт ты с чего так решил то?

Судя по схеме, раз железки без наименований, то это точки подключения к провайдерам.

Возможно и железки но уже провайдеров.

Share this post


Link to post
Share on other sites

абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку

Поздравляю Вас!

Спокойная у вас жизнь.

А я вот не могу на минуту юзеров лишить интернета и VPN'а, поэтому и прошу отказоустойчивую схему.

Share this post


Link to post
Share on other sites

На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу.

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь.

Share this post


Link to post
Share on other sites

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь.

1. В приведённой схеме только одна железка принимает каналы от операторов.

2. Если учесть что x900 - это L3 коммутаторы - то схема как раз для Вас. Добавить ещё один роутер(770s) и вперёд.

3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов.

Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно.

Share this post


Link to post
Share on other sites

3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов.

Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно.

Спасибо!

Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

Share this post


Link to post
Share on other sites

Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции.

Ну это смотря что и как считать.

 

Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

Ништяк. :-()

Ну прям по Саабу.

Тогда стопка CCR-ов вам в помощь. :)

 

Тут вроде про dmvpn уже упоминалось.

Share this post


Link to post
Share on other sites

А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен.

 

Теперь понятно почему нельзя вешать все функции на одно устройство?

 

1. Когда у вас каждое устройство подключено только к одному провайдеру, не нужен Connection Tracking и Mangle Prerouting, следовательно нагрузить процессор в полочку вредоносным трафиком не выйдет.

2. Когда у вас каждое устройство подключено только к одному провайдеру, то выход его из строя не влечет перебои в работе сети, его можно легко заменить.

 

Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле.

 

Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать.

Share this post


Link to post
Share on other sites

Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать.

Ну а сам механизм VPN как обеспечить? 2 туннеля + OSPF? Или всё-таки бондинг? Или вообще BGP?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.