Перейти к содержимому
Калькуляторы

горячий резерв маршрутизатора VRRP (проблема) OSPF VRRP костыли

Доброго времени суток, уважаемые коллеги.

задался я вопросом горячего резерва bgp.

 

и вышла у меня небольшая задумка в виде второго сервера с FW и вроди бы внутренний OSPF всё потянет как нужно.

тоесть вроди бы на bgp сделать баланс в сторону первичного не проблема и ospf можно отучить на вторичку часто лазить, да в конце концов даже 50\50 можно сделать.

но нарисовалось откуда не ждали.

нужно дать в vlan подсеть ipoe и стоять там будут виртуалки.

городить пограничный роутер не хочется. нашел вариант с резервированием по vrrp (тоесть если primary задумается, товторичный на его айпишник впряжётся) и всё вроди ничего, но смущает один момент.

на схемке:

роутер 2 главный

роутер 1 вторичный

представим ситуацию, когда роутер 2 хорошо так подгрузили и его цена в osfp сильно упала и пакеты от сервера 1 до сервера 2 пошли через роутер 1, как бы вроди всё логично и пакет даже дойдёт, но не посчитает ли сервер 2 это спуфингом из за того, что шлюз у него роутер 2?

а если предположить, что пакет пришел из внешнего мира?

 

я конечно рад бы купить коммутатор с ospf и не парить мозг, но мне столько денег не дадут =(

может я всё таки чего то не понимаю?

выслушаю любую критику =)

post-119449-021425700 1472583309_thumb.jpg

Изменено пользователем WY6EPT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и вышла у меня небольшая задумка в виде второго сервера с FW и вроди бы внутренний OSPF всё потянет как нужно.

Они тоже так думали https://yandex.ru/blog/company/38521

 

редставим ситуацию, когда роутер 2 хорошо так подгрузили и его цена в osfp сильно упала

В ospf такого нет. Такая фишка есть только в EIGRP (из широкоиспользуемых протоколов)

 

но не посчитает ли сервер 2 это спуфингом из за того, что шлюз у него роутер 2?

В линуксе можно включать/выключать anti-spoofing с помощью rp_filter. в hw-роутерах и бренд-sw-коробочах обычно urpf отключен по умолчанию

 

Остальное не смог понять, попробуйте сформулировать свои мысли чётко и последовательно, сейчас топик выглядит как поток сознания, ну или я такой тупой и не могу распарсить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробую по порядку.

первый вопрос: смогу ли я используя ospf сделать связность n маршрутизаторов с двумя бордерами которые держат фул вью?

 

второй вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2.

я конечно попробую сделать скриптовое отключение\включение порта, что бы этот вариант вообще убрать из раздумий.

 

ну и на последок, как лучше организовать такую связность?

 

оставлять один бордер уже не хочется совсем, поэтому и начал думать варианты

 

из железок микротики и pc роутеры с bsd.

ядро стэк длинк 3420, доступ на SNR 2985G.

 

про яндекс читал =) поэтому сначала продумываю все варианты.

были варианты с ibgp, eigrp в микротиках пока не реализован, да и ospf для нашей сети в 500 адресов справится на ура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) Вы ведь не планируете fv залить в OSPF? вам по идее BGP должен отпускать вниз дефолт в OSPF, вот и все, а OSPF поднимать вверх публичную адресацию...

2) Почему у вас на двух линках в сторону сервера одинаковая подсеть?

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я конечно рад бы купить коммутатор с ospf и не парить мозг, но мне столько денег не дадут =(

ядро стэк длинк 3420, доступ на SNR 2985G.

D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF !

Так что закрывай кошелек ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

торой вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2.

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

торой вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2.

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

 

А сервер даст прописать ему одну подсеть на два интерфейса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А сервер даст прописать ему одну подсеть на два интерфейса?

думаю нет, но может он нашел способ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А сервер даст прописать ему одну подсеть на два интерфейса?

думаю нет, но может он нашел способ?

 

Можно мост соорудить или повесить эту сеть на локалхост.

 

Я в похожей схеме нацепил CARP IP на router1 и router2.

 

Если надо два активных мастера, то два CARP'a и чуть усложнить схему с OSPF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) Вы ведь не планируете fv залить в OSPF? вам по идее BGP должен отпускать вниз дефолт в OSPF, вот и все, а OSPF поднимать вверх публичную адресацию...

2) Почему у вас на двух линках в сторону сервера одинаковая подсеть?

всё правильно, я не враг себе, что бы в ospf FW заливать. тут только вопрос с тем, как ospf проглотит два маршрута вверх через два сервера.

а вот из-за одинаковой подсети весь сырбор.

я хочу поставить скрипт, что бы в случае неответа маршрутизотора 2, на маршрутизаторе 1 прописывался адрес 2го, есть такая функция.

вот и возник вопрос. а если пакет приедет по другому пути, как это воспримет сервер?

я уже конечно подумываю о том, что бы переключать интерфейсы скриптом и не мучаться

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF !

Так что закрывай кошелек ;-)

неее, L3 на длинках не буду мучить, опасно.

 

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

я сейчас полигон соберу и протестирую этот момент =)

 

А сервер даст прописать ему одну подсеть на два интерфейса?

а почему на два? один коммутатор один интерфейс, одна подсеть. даже шлюз один. маршрутизаторов два =)

 

тут всё банальней, там будет много серваков и часть не наши, делать ospf на их интерфейсах не вариант.

может я сильно заморачиваюсь, но хотелось бы автоматизировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF !

Так что закрывай кошелек ;-)

неее, L3 на длинках не буду мучить, опасно.

 

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

я сейчас полигон соберу и протестирую этот момент =)

 

А сервер даст прописать ему одну подсеть на два интерфейса?

а почему на два? один коммутатор один интерфейс, одна подсеть. даже шлюз один. маршрутизаторов два =)

 

тут всё банальней, там будет много серваков и часть не наши, делать ospf на их интерфейсах не вариант.

может я сильно заморачиваюсь, но хотелось бы автоматизировать.

 

 

Если сервера втыкаются в свич- делайте vrrp и все. Сервер даже не узнает, что шлюз сменился

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если сервера втыкаются в свич- делайте vrrp и все. Сервер даже не узнает, что шлюз сменился

именно это я ихочу сделать.

двухпутевой доступ протестировал, работает. когда уходит в один роутер. а приходит с другого в этой же подсети.

 

сейчас остался вопрос, как сделать приоритет дефолта в ospf, когда его раздают два сервера.

после разрыва и восстановления, трафик ходит, через резерв. и очень не желает переходить обратно.

 

куда посмотреть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

после разрыва и восстановления, трафик ходит, через резерв. и очень не желает переходить обратно.

побаловаться с метриками оспф, ну или просто разорвать резерв

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

побаловаться с метриками оспф, ну или просто разорвать резерв

ну вот сейчас с метриками и пытаюсь играться =)

 

возникла интересная ситуация связанная с толи с состоянием established то ли есчё с неизвестным мне организмом внутри роутера.

происходит всё так.

router 1 и 2 натят траффик во внешний мир (пробовал с натом через одно крыло, та же ботва)

router 1 и 2 редистрибьютят дефолт в в ospf с условием если маршрут есть локально, то как тип1 (позволяет в случае падения уйти на резерв)

итак тест с server1 пингуем server2 пинги идут всё ок, трассировка говорит, что мы идём через router 2. рубим внешний линк router 2 задержка на dead interval и всё продолжает идти. повторяем то же с router 1 и тоже всё замечательно.

окей

ситуация

c сервера 3 пингуем сервер 2, обрываем дефолт router 2 ииии ... пинги валятся по таймауту.

в соседнем окне запускаем пинг сервера 4.. а он идёт как ни в чём не бывало.

окей, отменяем пинг к серверу 2, ждём 10 секунд и пинг начинает ходить, при переходе обратно, та же фигня.

вопрос, где происходит затык с запоминанием состояния куда идти для конкретного адреса?

т.к. я не смог прописать маршрут через два шлюза (ну не шмогла) сначала были тесты с routing router1 и nat router2, ситуация была идентична полному nat

да, кстати железо микротик

post-119449-093183000 1472676554_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WY6EPT

conntrack - это то, что следит за flow, на базе него работает iptables stateful firewall и nat

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

conntrack - это то, что следит за flow, на базе него работает iptables stateful firewall и nat

понял, буду копать.

спасибо за инфу

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подниму тему из забвенья.

начальный вопрос решился тестами. зато пришел вопрос с VRRP откуда не ждали.

 

и так. есть два роутера ( микротик, но не суть)

поднят vrrp на подсеть 2.2.2.0/24

всё работает, всё хорошо.. но

- на роутере GWP1 что то случилось с провайдером, но линк есть.

- роутер GWP2 понимает, что его сосед упал и поднимает интерфейс

в ospf публикуется сеть 2.2.2.0/24

- GWP1 считает, что ему норм и подсеть 2.2.2.0/24 из ospf убирать не собирается

так, как маршрутизаторам GW1 и GW2 до маршрутизатора GWP2 далеко ( лишний hope)

они шлют пакеты в GWP1... а там пусто.

вопрос, есть ли какие то встроенные методы проверки доступности канала и отключение VRRP в такой ситуации?

 

upd может кто прикручивал BFD к VRRP с целью потушить последнего?

post-119449-016608500 1475600775_thumb.jpg

Изменено пользователем WY6EPT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дичь какая-то

я бы выкинул вррп

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему раздел "Ужастики" это только физический монтаж? Такую жесть как на картинке нужно помещать в "Ужастики сетевого дизайна"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопрос, есть ли какие то встроенные методы проверки доступности канала и отключение VRRP в такой ситуации?

Ответ: sla

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WY6EPT, тут VRRP не поможет. При VRRP маршрутизаторы мониторят состояние друг-друга, а не аплинка. Ощушаете разницу? При опосредованном (через цепочку оборудования >1) соединении оно неприменимо. GWP1 у вас master, и он не видя slave справедливо полагает, что адрес его и всё ок.

Вам нужно использовать либо netwatch, либо скрипт в sheduler, периодически проверяя состояние аплинка и предпринимая действия в зависимости от изменения этого состояния.

Со скриптом могу помочь если есть затруднения, но нужны подробности. Если что - в личку.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.