grifin.ru Опубликовано 29 декабря, 2015 · Жалоба точка А - Есть два провайдера, от каждого есть свой IP адрес и есть ЦОД. Необходимо между ЦОДом и точкой А запустить два туннеля (VPN) чтоб обеспечить баланс нагрузки и резервирование. Т.е. нужно поднять два туннеля и сагрегировть их между собой. Чем посоветуете это сделать, если предположить что суммарная скорость двух линков в пределе - 150мбит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 29 декабря, 2015 · Жалоба Не шутка - микрот :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 29 декабря, 2015 · Жалоба Со стороны точки А желательно именно аппаратное решение. Если Микротик, то какой ? Со стороны ЦОДа желательно решение программное, дабы не плодить юнтов и не платить за них. Поднимем на виртуалке какой-нибудь VPN и нормально ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 29 декабря, 2015 · Жалоба 150мегов жует openvpn point to point, агрегировать можно через ospf с балансировкой между каналами. у меня так работает несколько точек по поводу openvpn, в тупом режиме с одной стороны виртуалку с ядрышком на 3.4Ghz, с другой стороны Atom2500 дает примерно 180мегабит в одном потоке, если Atom поменять на I5, то получается до 350мегабит, а теперь если это все в разных тунелях и с балансировкой то на нормальном железе в обще на ура пройдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 29 декабря, 2015 · Жалоба 150мегов жует openvpn point to point, агрегировать можно через ospf с балансировкой между каналами. у меня так работает несколько точек Так какой маршрутизатор-то брать для этих целей ? Ядрышков и гигагерцев на виртуалке более чем хватает. Виртуалка в интернет смотрит гигабитом, а вот со стороны микротика - две витых пары и 100мб порты Длинка. Т.е. реально там получить ну мбит по 80 на каждом лике, и то если повезет. Так что 150 мбитам суммарно я буду счастлив. Если будет 120 - буду очень доволен Если будет 100 - буду просто доволен И даже если будет 60 в часы пик - я не умру тоже )) Посоветуйте на что смотреть по железу. Нужно бюджет прикинуть... Кстати, еще забыл один момент... Хочу туда-же еще сотовый модем, в качестве третьей ноги.. Но вопрос в том что это подвал, и до улицы тянуть почти 10 метров. Что лучше тянуть ? Если делать USB модем, и даже повесить его на 3 метровый удлинитель, все-равно еще метров на 7 антенну выносить. Это нормальные расстояния для сотовой антенны ? Если да, то этот вариант самый лучшей,внешнюю антенну повешу на наружную стену здания. Если так не получится, то тогда наверное придется какой-то аутдорный LTE модем искать. В этом случае роутеру нужен будет не USB видимо, а третий WAN порт для подключения LTE модема.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 29 декабря, 2015 · Жалоба rb1100ahx2 с каждой стороны если без ipsec. каналы любые на выбор. ipip gre eoip. балансировать ospf как правильно сказали, бондинги всяки на микроте - очень плохая затея. (именно по этому стоит иметь гигабитный порт в сторону л2) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 29 декабря, 2015 · Жалоба с каждой стороны Задача использовать аппаратное решение только с одной стороны. Со стороны ЦОДа будет виртуалка на линуксе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 декабря, 2015 · Жалоба ЕСМР. И вообще похрену, что будет в ЦОД Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 29 декабря, 2015 · Жалоба ЕСМР. И вообще похрену, что будет в ЦОД Можно полностью обрисовать схему, включая название аппаратной железки со стороны "двух провайдеров" и программные решения со стороны ЦОД ? Причем по частям: - чем делать туннели - каков механизм "проброски" реальных IP из ЦОДа через двух провайдеров - как балансировать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 декабря, 2015 · Жалоба Доберусь до компа - нарисую. Давайте максимум конкретное ТЗ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 декабря, 2015 · Жалоба Навскидку вот так: Микротик-Вэй (0)Микротик 951с одной стороны и любая ОС в ЦОД с другой. 951 по желанию заменяется на любое другое устройство МТ, в стоечном варианте, с портом USB, с сенсорным экраном, етц. Емкость портов - не менее пяти. (1)Между микротиком и ЦОДом поднимаются сессии, скажем, OVPN. Если секретность пофигу и на стороне ЦОД не западло хватает смелости не впадлу поднять routeros и поднять eoip (2)Два получившихся интерфейса признаем клиентами РРРоЕ, клиентами с белой статикой, клиентами DHCP, коммунистами, етц. Короче, чего провайдеры дают туда, то и прописываем на интерфейсы. (3)Настраиваем ЕСМР. (4)Отыскиваем на форуме Pawel40, покупаем у него его фирменный девайс для сотовой связи, втыкаем в свободный порт, признаем портом WAN с большим routing distance, чтобы туда почем зря не слать информацию, там можно запасные туннели поднять, етц. Про проброс айпи от провайдера не совсем вкурил, что, зачем и куда пробрасывать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 29 декабря, 2015 · Жалоба Точка А - два медных провода от двух провайдеров (Каждый воткнут со стороны провайдера в 100мбтный порт свича провайдера) +, возможно сотовый модем. от првайдеров реально иметь реальные IP, если это надо. От LTE думаю не очень реально... Точка B - ЦОД, несколько независимых вводов, все по взрослому. В ЦОДе мощный сервер с витруализацией, своя ASка? настроенный BGP и сеть /24 Задача: Передать из точки В а точку А некоторое количество реальных IP адресов, при этом: - обеспечить отказоустойчивость. Если один из провайдеров ломается - связанность остается. - обеспечить суммирование полосы пропускания провайдеров - кроме реальных IP адресов создать между точкой А и точкой В (и еще некоторыми другими точками в будущем) единое пространство серых адресов Условия: - На стороне точки А поставить некую железку, два ее порта будут заняты линками к провайдерам и еще должно быть как-минимум два, которым будут подключаться устройства: из которых один будет шлюзом, маршрутизирующем реальные адреса, а второй - серые. Т.е. ко второму порту подключается коммутатор и в него можно воткнуть комп, прописать на нем серый IP, адрес шлюза и маску, и этот комп попадет в сеть серых IP, распределенную между всеми точками. Аналогично с первым портом. Туда можно подключить компьтер(ы), прописав им реасльные IP, и они сразу попадут в интернет с этими IP - На стороне точки B всем этим безобразиме должна заниматься виртуальная машина. Установка железок не предусмотрена. - Отказустойчивость - обязательно - Распределение нагрузки между провайдерами - желательно очень Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 декабря, 2015 · Жалоба UBNT-вэй Все то же самое, только вместо 951 покупаем edgerouter, манипуляции те же, только в терминологии ubnt нет пафосной аббривеатуры на тему, они говорят просто load-balance. О, так интереснее. Для "первого порта" в точке А белые IP выдаются автоматизированно провайдером по DHCP? Или писать строго руками? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 29 декабря, 2015 · Жалоба О, так интереснее. Для "первого порта" в точке А белые IP выдаются автоматизированно провайдером по DHCP? Или писать строго руками? Руками. Хотя не вижу разницы. DHCP поднять - самая маленькая из проблем. Важно эти IP (подсеть, скажем /28 пробросить через тунель из ЦОДа в точку А UBNT-вэй 951 Коллеги, телефонисты мы. Эти сокращения мне не всегда понятны. 951 это, как я понимаю, Микротик, что такое UBNT-вэй - я не знаю. Прошу кидать сразу ссылку на описание модели. Так же ваш спор не сильно мне понятен. Можно попроще объяснить плюсы и минусы того, другого и третьего. И сравнить, если можно, с циской. т.к. с циской дело имел, базовые представления имею. Хоть и устаревшие... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 декабря, 2015 · Жалоба Объяснять спор смысла нет: если микротик, одни его любят, другие нет, третьим пофиг. При этом и среди первых и среди вторых есть как любители похоливарить, так и менее склонные к этим холиварам люди. Ну и те, кому пофиг :) Микротик это как автоваз: дешево, сердито, работает. Ну, как автоваз и работает, т.е. надо приглядывать и категорически нельзя давать ему суперсложные/тяжелые задачи. От циско далёк by design UBNT проводные решения в РФ ещё несильно известны, но парни вкрутили в свои маршрутеры ваятту и активно её пилят, плюс оффлоад в железо всех самых ходовых функций. По духу ближе к циске, чем микротик. Это из бюджетного сегмента всё В принципе, базовая схема описана постом выше. Смаршрутизировать белые айпи наружу вполне можно, а можно сделать вид, что узлы А и В рядышком стоят, забахав их в один бродкаст домен, и мутить там все, чего душа пожелает. В этом случае МТ с его eoip выходит вперед. Полученные интерфейсы можно просто сбондить (bonding), можно балансить, ECMP/OSPF, и всё прочее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 29 декабря, 2015 · Жалоба ChargeSet слишком много вариантов ) МТ с его eoip выходит вперед С учетом того, что только с одной стороны будет что-то железное, а с другой стороны будет виртуалка на Centos, а так же учитывая возможность присоединения точек C,D и т.д. в "сеть серых IP" решение с со специфичным протоколом не кажется наилучшим. Предпочитаю что-то более олдскульное для маршрутизации/ Уже лет 10 у меня трудится 10 портовая циска, что то типа 1911/к9 Покупал в своем время за 2XX$ новую. Может посмотреть на что-то вроде того ? Микротиком тоже не брезгую, но нужно понимать что на другом конце будет не Router OS !!! UBNT - вообще не знаю что это. Да, хотелось бы настройку с вэб интерфейса, если это ен циска, т.к. в CLI разбирfться очень лень (проще тогда и со стороны точки А поставить centos) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 30 декабря, 2015 · Жалоба Надеюсь есть понимание, что "балансировка нагрузки" и 150 мегабит будут при куче соединений от разных IP ? т.е. соеденить два сервера и ждать что линк станет суммой двух - нельзя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 30 декабря, 2015 · Жалоба Надеюсь есть понимание, что "балансировка нагрузки" и 150 мегабит будут при куче соединений от разных IP ? т.е. соеденить два сервера и ждать что линк станет суммой двух - нельзя. В данном случае - можно. Как я уже писал - мы не делим "два интернета". Мы используем два интернета, ядл создания двух каналов между точками A И В У неас нет ограничения, что в какой интернет запулил запрос, с того-же и придет ответ. Запросы и ответы могут дербанится на каждой стороне как угодно и собираться на другой стороне, т..к. обе стороны контролируются нами, в отличии от классической ситуации с "двумя интернетами" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 30 декабря, 2015 (изменено) · Жалоба Надеюсь есть понимание, что "балансировка нагрузки" и 150 мегабит будут при куче соединений от разных IP ? т.е. соеденить два сервера и ждать что линк станет суммой двух - нельзя. В данном случае - можно. Как я уже писал - мы не делим "два интернета". Мы используем два интернета, ядл создания двух каналов между точками A И В У неас нет ограничения, что в какой интернет запулил запрос, с того-же и придет ответ. Запросы и ответы могут дербанится на каждой стороне как угодно и собираться на другой стороне, т..к. обе стороны контролируются нами, в отличии от классической ситуации с "двумя интернетами" Вам пытаются намекнуть на ограничение механизмов OSPF ECMP по балансировке трафика между двумя туннелями(правильней наверно - OSPF маршрутами так как линки то могут быть и не туннелями). То есть если туннель будет между одним ip c одной стороны и одним ip с другой стороны то трафик пойдёт только по одному из туннелей. Изменено 30 декабря, 2015 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 30 декабря, 2015 · Жалоба Ну предположем похожие ограничения не только у OPSF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 30 декабря, 2015 · Жалоба FreeBSD, LACP и возможно Netgraph. Не забываем про оверхеад при шифровании туннелей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 30 декабря, 2015 · Жалоба LACP и возможно netflow LACP овер L3? Netflow для чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 декабря, 2015 · Жалоба (0)Микротик 951с одной стороны и любая ОС в ЦОД с другой. 951 по желанию заменяется на любое другое устройство МТ, в стоечном варианте, с портом USB, с сенсорным экраном, етц. Емкость портов - не менее пяти. В ЦОД можно так же поставить микротик на виртуалке. (1)Между микротиком и ЦОДом поднимаются сессии, скажем, OVPN. Если секретность пофигу и на стороне ЦОД не западло хватает смелости не впадлу поднять routeros и поднять eoip EoIP поднимать через интернет бестолковое занятие, если потом поверх опять IP трафик передавать. Если уж хотите прямой туннель, то это IP-IP у него самый большой МТУ из туннелей, хотя есть еще и SSTP, у него вообще МТУ = 1500, но он с гарантированной доставкой, шифрованием и т.п. - будет высокая задержка и нагрузка на процессор, то есть уже как минимум CCR на дальней стороне и в центре. (2)Два получившихся интерфейса признаем клиентами РРРоЕ, клиентами с белой статикой, клиентами DHCP, коммунистами, етц. Короче, чего провайдеры дают туда, то и прописываем на интерфейсы. Ага, гонять L2 поверх интернета, да еще на клиентах PPPoE, это будет круче чем туннелировать трафик, когда уже туннелируете трафик. (3)Настраиваем ЕСМР. Совершенно не нужное в данном случае. (4)Отыскиваем на форуме Pawel40, покупаем у него его фирменный девайс для сотовой связи, втыкаем в свободный порт, признаем портом WAN с большим routing distance, чтобы туда почем зря не слать информацию, там можно запасные туннели поднять, етц. У микротика есть аналогичное решение, при чем с меньшей стоимостью, тянете до него витуху, вставляете симку и размещаете на улице, снизу подключаете в свободный порт микротика, между роутером и модемом настраиваете отдельную подсеть на которой можно повесить стоимость маршрутов OSPF, тем самым автоматически удлинив маршрут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 31 декабря, 2015 · Жалоба Почему никто не сказал за cisco ? даже странно. И за софтверное решение на линуксе тоже никто не высказался. Только холивары "Микротик против UBNT" кроме того, предлагают протоколы не обеспечивающие правильной балансировки. Прошу предложить решение, которое удовлетворит озвученные потребности. А вот если оно окажется слишком дорогим - будем искать компромиссы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 31 декабря, 2015 · Жалоба Почему никто не сказал за cisco ? даже странно. И за софтверное решение на линуксе тоже никто не высказался. Только холивары "Микротик против UBNT" кроме того, предлагают протоколы не обеспечивающие правильной балансировки. Прошу предложить решение, которое удовлетворит озвученные потребности. А вот если оно окажется слишком дорогим - будем искать компромиссы. за циско... да все тоже самое, 7301 плюс ipip/gre. Чуть подороже микротика. Софтовые решения - нахер, они целесообразны в случае когда надо много-много за очень дещиво. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...