[grifin.ru]

точка А - Есть два провайдера, от каждого есть свой IP адрес и есть ЦОД.

Необходимо между ЦОДом и точкой А запустить два туннеля (VPN) чтоб обеспечить баланс нагрузки и резервирование.

Т.е. нужно поднять два туннеля и сагрегировть их между собой.

Чем посоветуете это сделать, если предположить что суммарная скорость двух линков в пределе - 150мбит

[SyJet]

Не шутка - микрот :)

[grifin.ru]

Со стороны точки А желательно именно аппаратное решение. Если Микротик, то какой ?

Со стороны ЦОДа желательно решение программное, дабы не плодить юнтов и не платить за них. Поднимем на виртуалке какой-нибудь VPN и нормально )

[Megas]

150мегов жует openvpn point to point, агрегировать можно через ospf с балансировкой между каналами.

у меня так работает несколько точек

 

по поводу openvpn, в тупом режиме с одной стороны виртуалку с ядрышком на 3.4Ghz, с другой стороны Atom2500 дает примерно 180мегабит в одном потоке, если Atom поменять на I5, то получается до 350мегабит, а теперь если это все в разных тунелях и с балансировкой то на нормальном железе в обще на ура пройдет.

[grifin.ru]

150мегов жует openvpn point to point, агрегировать можно через ospf с балансировкой между каналами.

у меня так работает несколько точек

Так какой маршрутизатор-то брать для этих целей ?

Ядрышков и гигагерцев на виртуалке более чем хватает.

Виртуалка в интернет смотрит гигабитом, а вот со стороны микротика - две витых пары и 100мб порты Длинка. Т.е. реально там получить ну мбит по 80 на каждом лике, и то если повезет.

Так что 150 мбитам суммарно я буду счастлив.

Если будет 120 - буду очень доволен

Если будет 100 - буду просто доволен

И даже если будет 60 в часы пик - я не умру тоже ))

Посоветуйте на что смотреть по железу. Нужно бюджет прикинуть...

Кстати, еще забыл один момент... Хочу туда-же еще сотовый модем, в качестве третьей ноги.. Но вопрос в том что это подвал, и до улицы тянуть почти 10 метров. Что лучше тянуть ?

Если делать USB модем, и даже повесить его на 3 метровый удлинитель, все-равно еще метров на 7 антенну выносить. Это нормальные расстояния для сотовой антенны ? Если да, то этот вариант самый лучшей,внешнюю антенну повешу на наружную стену здания.

Если так не получится, то тогда наверное придется какой-то аутдорный LTE модем искать. В этом случае роутеру нужен будет не USB видимо, а третий WAN порт для подключения LTE модема....

[myst]

rb1100ahx2 с каждой стороны если без ipsec. каналы любые на выбор. ipip gre eoip.

балансировать ospf как правильно сказали, бондинги всяки на микроте - очень плохая затея. (именно по этому стоит иметь гигабитный порт в сторону л2)

[grifin.ru]

с каждой стороны

Задача использовать аппаратное решение только с одной стороны.

Со стороны ЦОДа будет виртуалка на линуксе.

[ChargeSet]

ЕСМР. И вообще похрену, что будет в ЦОД

[grifin.ru]

ЕСМР. И вообще похрену, что будет в ЦОД

Можно полностью обрисовать схему, включая название аппаратной железки со стороны "двух провайдеров" и программные решения со стороны ЦОД ?

Причем по частям:

- чем делать туннели

- каков механизм "проброски" реальных IP из ЦОДа через двух провайдеров

- как балансировать

[ChargeSet]

Доберусь до компа - нарисую. Давайте максимум конкретное ТЗ

[ChargeSet]

Навскидку вот так:

Микротик-Вэй

(0)Микротик 951с одной стороны и любая ОС в ЦОД с другой. 951 по желанию заменяется на любое другое устройство МТ, в стоечном варианте, с портом USB, с сенсорным экраном, етц. Емкость портов - не менее пяти.

(1)Между микротиком и ЦОДом поднимаются сессии, скажем, OVPN. Если секретность пофигу и на стороне ЦОД не западло хватает смелости не впадлу поднять routeros и поднять eoip

(2)Два получившихся интерфейса признаем клиентами РРРоЕ, клиентами с белой статикой, клиентами DHCP, коммунистами, етц. Короче, чего провайдеры дают туда, то и прописываем на интерфейсы.

(3)Настраиваем ЕСМР.

(4)Отыскиваем на форуме Pawel40, покупаем у него его фирменный девайс для сотовой связи, втыкаем в свободный порт, признаем портом WAN с большим routing distance, чтобы туда почем зря не слать информацию, там можно запасные туннели поднять, етц.

 

Про проброс айпи от провайдера не совсем вкурил, что, зачем и куда пробрасывать

[grifin.ru]

Точка А - два медных провода от двух провайдеров (Каждый воткнут со стороны провайдера в 100мбтный порт свича провайдера) +, возможно сотовый модем.

от првайдеров реально иметь реальные IP, если это надо. От LTE думаю не очень реально...

 

Точка B - ЦОД, несколько независимых вводов, все по взрослому. В ЦОДе мощный сервер с витруализацией, своя ASка? настроенный BGP и сеть /24

 

Задача: Передать из точки В а точку А некоторое количество реальных IP адресов, при этом:

- обеспечить отказоустойчивость. Если один из провайдеров ломается - связанность остается.

- обеспечить суммирование полосы пропускания провайдеров

- кроме реальных IP адресов создать между точкой А и точкой В (и еще некоторыми другими точками в будущем) единое пространство серых адресов

 

Условия:

- На стороне точки А поставить некую железку, два ее порта будут заняты линками к провайдерам и еще должно быть как-минимум два, которым будут подключаться устройства: из которых один будет шлюзом, маршрутизирующем реальные адреса, а второй - серые.

Т.е. ко второму порту подключается коммутатор и в него можно воткнуть комп, прописать на нем серый IP, адрес шлюза и маску, и этот комп попадет в сеть серых IP, распределенную между всеми точками.

Аналогично с первым портом. Туда можно подключить компьтер(ы), прописав им реасльные IP, и они сразу попадут в интернет с этими IP

- На стороне точки B всем этим безобразиме должна заниматься виртуальная машина. Установка железок не предусмотрена.

- Отказустойчивость - обязательно

- Распределение нагрузки между провайдерами - желательно очень

[ChargeSet]

UBNT-вэй

Все то же самое, только вместо 951 покупаем edgerouter, манипуляции те же, только в терминологии ubnt нет пафосной аббривеатуры на тему, они говорят просто load-balance.

 

О, так интереснее.

Для "первого порта" в точке А белые IP выдаются автоматизированно провайдером по DHCP? Или писать строго руками?

[grifin.ru]

О, так интереснее.

Для "первого порта" в точке А белые IP выдаются автоматизированно провайдером по DHCP? Или писать строго руками?

Руками. Хотя не вижу разницы. DHCP поднять - самая маленькая из проблем.

Важно эти IP (подсеть, скажем /28 пробросить через тунель из ЦОДа в точку А

 

UBNT-вэй

951

Коллеги, телефонисты мы. Эти сокращения мне не всегда понятны. 951 это, как я понимаю, Микротик, что такое UBNT-вэй - я не знаю. Прошу кидать сразу ссылку на описание модели.

Так же ваш спор не сильно мне понятен. Можно попроще объяснить плюсы и минусы того, другого и третьего. И сравнить, если можно, с циской. т.к. с циской дело имел, базовые представления имею. Хоть и устаревшие...

[ChargeSet]

Объяснять спор смысла нет: если микротик, одни его любят, другие нет, третьим пофиг. При этом и среди первых и среди вторых есть как любители похоливарить, так и менее склонные к этим холиварам люди. Ну и те, кому пофиг :)

 

Микротик это как автоваз: дешево, сердито, работает. Ну, как автоваз и работает, т.е. надо приглядывать и категорически нельзя давать ему суперсложные/тяжелые задачи. От циско далёк by design

UBNT проводные решения в РФ ещё несильно известны, но парни вкрутили в свои маршрутеры ваятту и активно её пилят, плюс оффлоад в железо всех самых ходовых функций. По духу ближе к циске, чем микротик.

Это из бюджетного сегмента всё

 

В принципе, базовая схема описана постом выше. Смаршрутизировать белые айпи наружу вполне можно, а можно сделать вид, что узлы А и В рядышком стоят, забахав их в один бродкаст домен, и мутить там все, чего душа пожелает. В этом случае МТ с его eoip выходит вперед. Полученные интерфейсы можно просто сбондить (bonding), можно балансить, ECMP/OSPF, и всё прочее.

[grifin.ru]

ChargeSet

слишком много вариантов )

МТ с его eoip выходит вперед

С учетом того, что только с одной стороны будет что-то железное, а с другой стороны будет виртуалка на Centos, а так же учитывая возможность присоединения точек C,D и т.д. в "сеть серых IP" решение с со специфичным протоколом не кажется наилучшим.

Предпочитаю что-то более олдскульное для маршрутизации/

Уже лет 10 у меня трудится 10 портовая циска, что то типа 1911/к9 Покупал в своем время за 2XX$ новую. Может посмотреть на что-то вроде того ?

Микротиком тоже не брезгую, но нужно понимать что на другом конце будет не Router OS !!!

UBNT - вообще не знаю что это.

Да, хотелось бы настройку с вэб интерфейса, если это ен циска, т.к. в CLI разбирfться очень лень (проще тогда и со стороны точки А поставить centos)

[ShyLion]

Надеюсь есть понимание, что "балансировка нагрузки" и 150 мегабит будут при куче соединений от разных IP ?

т.е. соеденить два сервера и ждать что линк станет суммой двух - нельзя.

[grifin.ru]

Надеюсь есть понимание, что "балансировка нагрузки" и 150 мегабит будут при куче соединений от разных IP ?

т.е. соеденить два сервера и ждать что линк станет суммой двух - нельзя.

В данном случае - можно.

Как я уже писал - мы не делим "два интернета". Мы используем два интернета, ядл создания двух каналов между точками A И В

У неас нет ограничения, что в какой интернет запулил запрос, с того-же и придет ответ.

Запросы и ответы могут дербанится на каждой стороне как угодно и собираться на другой стороне, т..к. обе стороны контролируются нами, в отличии от классической ситуации с "двумя интернетами"

[NikAlexAn]

Надеюсь есть понимание, что "балансировка нагрузки" и 150 мегабит будут при куче соединений от разных IP ?

т.е. соеденить два сервера и ждать что линк станет суммой двух - нельзя.

В данном случае - можно.

Как я уже писал - мы не делим "два интернета". Мы используем два интернета, ядл создания двух каналов между точками A И В

У неас нет ограничения, что в какой интернет запулил запрос, с того-же и придет ответ.

Запросы и ответы могут дербанится на каждой стороне как угодно и собираться на другой стороне, т..к. обе стороны контролируются нами, в отличии от классической ситуации с "двумя интернетами"

Вам пытаются намекнуть на ограничение механизмов OSPF ECMP по балансировке трафика между двумя туннелями(правильней наверно - OSPF маршрутами так как линки то могут быть и не туннелями). То есть если туннель будет между одним ip c одной стороны и одним ip с другой стороны то трафик пойдёт только по одному из туннелей.

Изменено 30 декабря, 2015 пользователем NikAlexAn

[myst]

Ну предположем похожие ограничения не только у OPSF.

[vlad11]

FreeBSD, LACP и возможно Netgraph.

 

Не забываем про оверхеад при шифровании туннелей.

[rdntw]

LACP и возможно netflow

 

LACP овер L3?

Netflow для чего?

[Saab95]

(0)Микротик 951с одной стороны и любая ОС в ЦОД с другой. 951 по желанию заменяется на любое другое устройство МТ, в стоечном варианте, с портом USB, с сенсорным экраном, етц. Емкость портов - не менее пяти.

 

В ЦОД можно так же поставить микротик на виртуалке.

 

(1)Между микротиком и ЦОДом поднимаются сессии, скажем, OVPN. Если секретность пофигу и на стороне ЦОД не западло хватает смелости не впадлу поднять routeros и поднять eoip

 

EoIP поднимать через интернет бестолковое занятие, если потом поверх опять IP трафик передавать. Если уж хотите прямой туннель, то это IP-IP у него самый большой МТУ из туннелей, хотя есть еще и SSTP, у него вообще МТУ = 1500, но он с гарантированной доставкой, шифрованием и т.п. - будет высокая задержка и нагрузка на процессор, то есть уже как минимум CCR на дальней стороне и в центре.

 

(2)Два получившихся интерфейса признаем клиентами РРРоЕ, клиентами с белой статикой, клиентами DHCP, коммунистами, етц. Короче, чего провайдеры дают туда, то и прописываем на интерфейсы.

 

Ага, гонять L2 поверх интернета, да еще на клиентах PPPoE, это будет круче чем туннелировать трафик, когда уже туннелируете трафик.

 

(3)Настраиваем ЕСМР.

 

Совершенно не нужное в данном случае.

 

(4)Отыскиваем на форуме Pawel40, покупаем у него его фирменный девайс для сотовой связи, втыкаем в свободный порт, признаем портом WAN с большим routing distance, чтобы туда почем зря не слать информацию, там можно запасные туннели поднять, етц.

 

У микротика есть аналогичное решение, при чем с меньшей стоимостью, тянете до него витуху, вставляете симку и размещаете на улице, снизу подключаете в свободный порт микротика, между роутером и модемом настраиваете отдельную подсеть на которой можно повесить стоимость маршрутов OSPF, тем самым автоматически удлинив маршрут.

[grifin.ru]

Почему никто не сказал за cisco ? даже странно.

И за софтверное решение на линуксе тоже никто не высказался.

Только холивары "Микротик против UBNT"

кроме того, предлагают протоколы не обеспечивающие правильной балансировки.

Прошу предложить решение, которое удовлетворит озвученные потребности. А вот если оно окажется слишком дорогим - будем искать компромиссы.

[myst]

Почему никто не сказал за cisco ? даже странно.

И за софтверное решение на линуксе тоже никто не высказался.

Только холивары "Микротик против UBNT"

кроме того, предлагают протоколы не обеспечивающие правильной балансировки.

Прошу предложить решение, которое удовлетворит озвученные потребности. А вот если оно окажется слишком дорогим - будем искать компромиссы.

за циско... да все тоже самое, 7301 плюс ipip/gre. Чуть подороже микротика.

Софтовые решения - нахер, они целесообразны в случае когда надо много-много за очень дещиво.