[WY6EPT]

Доброго времени суток, уважаемые коллеги.

задался я вопросом горячего резерва bgp.

 

и вышла у меня небольшая задумка в виде второго сервера с FW и вроди бы внутренний OSPF всё потянет как нужно.

тоесть вроди бы на bgp сделать баланс в сторону первичного не проблема и ospf можно отучить на вторичку часто лазить, да в конце концов даже 50\50 можно сделать.

но нарисовалось откуда не ждали.

нужно дать в vlan подсеть ipoe и стоять там будут виртуалки.

городить пограничный роутер не хочется. нашел вариант с резервированием по vrrp (тоесть если primary задумается, товторичный на его айпишник впряжётся) и всё вроди ничего, но смущает один момент.

на схемке:

роутер 2 главный

роутер 1 вторичный

представим ситуацию, когда роутер 2 хорошо так подгрузили и его цена в osfp сильно упала и пакеты от сервера 1 до сервера 2 пошли через роутер 1, как бы вроди всё логично и пакет даже дойдёт, но не посчитает ли сервер 2 это спуфингом из за того, что шлюз у него роутер 2?

а если предположить, что пакет пришел из внешнего мира?

 

я конечно рад бы купить коммутатор с ospf и не парить мозг, но мне столько денег не дадут =(

может я всё таки чего то не понимаю?

выслушаю любую критику =)

Edited October 4, 2016 by WY6EPT

[s.lobanov]

и вышла у меня небольшая задумка в виде второго сервера с FW и вроди бы внутренний OSPF всё потянет как нужно.

Они тоже так думали https://yandex.ru/blog/company/38521

 

редставим ситуацию, когда роутер 2 хорошо так подгрузили и его цена в osfp сильно упала

В ospf такого нет. Такая фишка есть только в EIGRP (из широкоиспользуемых протоколов)

 

но не посчитает ли сервер 2 это спуфингом из за того, что шлюз у него роутер 2?

В линуксе можно включать/выключать anti-spoofing с помощью rp_filter. в hw-роутерах и бренд-sw-коробочах обычно urpf отключен по умолчанию

 

Остальное не смог понять, попробуйте сформулировать свои мысли чётко и последовательно, сейчас топик выглядит как поток сознания, ну или я такой тупой и не могу распарсить.

[WY6EPT]

попробую по порядку.

первый вопрос: смогу ли я используя ospf сделать связность n маршрутизаторов с двумя бордерами которые держат фул вью?

 

второй вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2.

я конечно попробую сделать скриптовое отключение\включение порта, что бы этот вариант вообще убрать из раздумий.

 

ну и на последок, как лучше организовать такую связность?

 

оставлять один бордер уже не хочется совсем, поэтому и начал думать варианты

 

из железок микротики и pc роутеры с bsd.

ядро стэк длинк 3420, доступ на SNR 2985G.

 

про яндекс читал =) поэтому сначала продумываю все варианты.

были варианты с ibgp, eigrp в микротиках пока не реализован, да и ospf для нашей сети в 500 адресов справится на ура.

[VolanD666]

1) Вы ведь не планируете fv залить в OSPF? вам по идее BGP должен отпускать вниз дефолт в OSPF, вот и все, а OSPF поднимать вверх публичную адресацию...

2) Почему у вас на двух линках в сторону сервера одинаковая подсеть?

Edited August 31, 2016 by VolanD666

[Nik0n]

я конечно рад бы купить коммутатор с ospf и не парить мозг, но мне столько денег не дадут =(

ядро стэк длинк 3420, доступ на SNR 2985G.

D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF !

Так что закрывай кошелек ;-)

[micho]

торой вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2.

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

[VolanD666]

торой вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2.

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

 

А сервер даст прописать ему одну подсеть на два интерфейса?

[micho]

А сервер даст прописать ему одну подсеть на два интерфейса?

думаю нет, но может он нашел способ?

[vlad11]

А сервер даст прописать ему одну подсеть на два интерфейса?

думаю нет, но может он нашел способ?

 

Можно мост соорудить или повесить эту сеть на локалхост.

 

Я в похожей схеме нацепил CARP IP на router1 и router2.

 

Если надо два активных мастера, то два CARP'a и чуть усложнить схему с OSPF.

[VolanD666]

Да дотянуть ospf до сервера и все.

[WY6EPT]

1) Вы ведь не планируете fv залить в OSPF? вам по идее BGP должен отпускать вниз дефолт в OSPF, вот и все, а OSPF поднимать вверх публичную адресацию...

2) Почему у вас на двух линках в сторону сервера одинаковая подсеть?

всё правильно, я не враг себе, что бы в ospf FW заливать. тут только вопрос с тем, как ospf проглотит два маршрута вверх через два сервера.

а вот из-за одинаковой подсети весь сырбор.

я хочу поставить скрипт, что бы в случае неответа маршрутизотора 2, на маршрутизаторе 1 прописывался адрес 2го, есть такая функция.

вот и возник вопрос. а если пакет приедет по другому пути, как это воспримет сервер?

я уже конечно подумываю о том, что бы переключать интерфейсы скриптом и не мучаться

[WY6EPT]

D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF !

Так что закрывай кошелек ;-)

неее, L3 на длинках не буду мучить, опасно.

 

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

я сейчас полигон соберу и протестирую этот момент =)

 

А сервер даст прописать ему одну подсеть на два интерфейса?

а почему на два? один коммутатор один интерфейс, одна подсеть. даже шлюз один. маршрутизаторов два =)

 

тут всё банальней, там будет много серваков и часть не наши, делать ospf на их интерфейсах не вариант.

может я сильно заморачиваюсь, но хотелось бы автоматизировать.

[VolanD666]

D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF !

Так что закрывай кошелек ;-)

неее, L3 на длинках не буду мучить, опасно.

 

ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко.

я сейчас полигон соберу и протестирую этот момент =)

 

А сервер даст прописать ему одну подсеть на два интерфейса?

а почему на два? один коммутатор один интерфейс, одна подсеть. даже шлюз один. маршрутизаторов два =)

 

тут всё банальней, там будет много серваков и часть не наши, делать ospf на их интерфейсах не вариант.

может я сильно заморачиваюсь, но хотелось бы автоматизировать.

 

 

Если сервера втыкаются в свич- делайте vrrp и все. Сервер даже не узнает, что шлюз сменился

[WY6EPT]

Если сервера втыкаются в свич- делайте vrrp и все. Сервер даже не узнает, что шлюз сменился

именно это я ихочу сделать.

двухпутевой доступ протестировал, работает. когда уходит в один роутер. а приходит с другого в этой же подсети.

 

сейчас остался вопрос, как сделать приоритет дефолта в ospf, когда его раздают два сервера.

после разрыва и восстановления, трафик ходит, через резерв. и очень не желает переходить обратно.

 

куда посмотреть?

[micho]

после разрыва и восстановления, трафик ходит, через резерв. и очень не желает переходить обратно.

побаловаться с метриками оспф, ну или просто разорвать резерв

[WY6EPT]

побаловаться с метриками оспф, ну или просто разорвать резерв

ну вот сейчас с метриками и пытаюсь играться =)

 

возникла интересная ситуация связанная с толи с состоянием established то ли есчё с неизвестным мне организмом внутри роутера.

происходит всё так.

router 1 и 2 натят траффик во внешний мир (пробовал с натом через одно крыло, та же ботва)

router 1 и 2 редистрибьютят дефолт в в ospf с условием если маршрут есть локально, то как тип1 (позволяет в случае падения уйти на резерв)

итак тест с server1 пингуем server2 пинги идут всё ок, трассировка говорит, что мы идём через router 2. рубим внешний линк router 2 задержка на dead interval и всё продолжает идти. повторяем то же с router 1 и тоже всё замечательно.

окей

ситуация

c сервера 3 пингуем сервер 2, обрываем дефолт router 2 ииии ... пинги валятся по таймауту.

в соседнем окне запускаем пинг сервера 4.. а он идёт как ни в чём не бывало.

окей, отменяем пинг к серверу 2, ждём 10 секунд и пинг начинает ходить, при переходе обратно, та же фигня.

вопрос, где происходит затык с запоминанием состояния куда идти для конкретного адреса?

т.к. я не смог прописать маршрут через два шлюза (ну не шмогла) сначала были тесты с routing router1 и nat router2, ситуация была идентична полному nat

да, кстати железо микротик

[vurd]

Коннтрак поди какой-нибудь.

[WY6EPT]

Коннтрак поди какой-нибудь

что это за зверь?

[s.lobanov]

WY6EPT

conntrack - это то, что следит за flow, на базе него работает iptables stateful firewall и nat

[WY6EPT]

conntrack - это то, что следит за flow, на базе него работает iptables stateful firewall и nat

понял, буду копать.

спасибо за инфу

[WY6EPT]

Подниму тему из забвенья.

начальный вопрос решился тестами. зато пришел вопрос с VRRP откуда не ждали.

 

и так. есть два роутера ( микротик, но не суть)

поднят vrrp на подсеть 2.2.2.0/24

всё работает, всё хорошо.. но

- на роутере GWP1 что то случилось с провайдером, но линк есть.

- роутер GWP2 понимает, что его сосед упал и поднимает интерфейс

в ospf публикуется сеть 2.2.2.0/24

- GWP1 считает, что ему норм и подсеть 2.2.2.0/24 из ospf убирать не собирается

так, как маршрутизаторам GW1 и GW2 до маршрутизатора GWP2 далеко ( лишний hope)

они шлют пакеты в GWP1... а там пусто.

вопрос, есть ли какие то встроенные методы проверки доступности канала и отключение VRRP в такой ситуации?

 

upd может кто прикручивал BFD к VRRP с целью потушить последнего?

Edited October 4, 2016 by WY6EPT

[zi_rus]

дичь какая-то

я бы выкинул вррп

[s.lobanov]

Почему раздел "Ужастики" это только физический монтаж? Такую жесть как на картинке нужно помещать в "Ужастики сетевого дизайна"

[SyJet]

вопрос, есть ли какие то встроенные методы проверки доступности канала и отключение VRRP в такой ситуации?

Ответ: sla

[nkusnetsov]

WY6EPT, тут VRRP не поможет. При VRRP маршрутизаторы мониторят состояние друг-друга, а не аплинка. Ощушаете разницу? При опосредованном (через цепочку оборудования >1) соединении оно неприменимо. GWP1 у вас master, и он не видя slave справедливо полагает, что адрес его и всё ок.

Вам нужно использовать либо netwatch, либо скрипт в sheduler, периодически проверяя состояние аплинка и предпринимая действия в зависимости от изменения этого состояния.

Со скриптом могу помочь если есть затруднения, но нужны подробности. Если что - в личку.

Edited October 5, 2016 by nkusnetsov