WY6EPT Posted August 30, 2016 (edited) · Report post Доброго времени суток, уважаемые коллеги. задался я вопросом горячего резерва bgp. и вышла у меня небольшая задумка в виде второго сервера с FW и вроди бы внутренний OSPF всё потянет как нужно. тоесть вроди бы на bgp сделать баланс в сторону первичного не проблема и ospf можно отучить на вторичку часто лазить, да в конце концов даже 50\50 можно сделать. но нарисовалось откуда не ждали. нужно дать в vlan подсеть ipoe и стоять там будут виртуалки. городить пограничный роутер не хочется. нашел вариант с резервированием по vrrp (тоесть если primary задумается, товторичный на его айпишник впряжётся) и всё вроди ничего, но смущает один момент. на схемке: роутер 2 главный роутер 1 вторичный представим ситуацию, когда роутер 2 хорошо так подгрузили и его цена в osfp сильно упала и пакеты от сервера 1 до сервера 2 пошли через роутер 1, как бы вроди всё логично и пакет даже дойдёт, но не посчитает ли сервер 2 это спуфингом из за того, что шлюз у него роутер 2? а если предположить, что пакет пришел из внешнего мира? я конечно рад бы купить коммутатор с ospf и не парить мозг, но мне столько денег не дадут =( может я всё таки чего то не понимаю? выслушаю любую критику =) Edited October 4, 2016 by WY6EPT Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 30, 2016 · Report post и вышла у меня небольшая задумка в виде второго сервера с FW и вроди бы внутренний OSPF всё потянет как нужно. Они тоже так думали https://yandex.ru/blog/company/38521 редставим ситуацию, когда роутер 2 хорошо так подгрузили и его цена в osfp сильно упала В ospf такого нет. Такая фишка есть только в EIGRP (из широкоиспользуемых протоколов) но не посчитает ли сервер 2 это спуфингом из за того, что шлюз у него роутер 2? В линуксе можно включать/выключать anti-spoofing с помощью rp_filter. в hw-роутерах и бренд-sw-коробочах обычно urpf отключен по умолчанию Остальное не смог понять, попробуйте сформулировать свои мысли чётко и последовательно, сейчас топик выглядит как поток сознания, ну или я такой тупой и не могу распарсить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted August 30, 2016 · Report post попробую по порядку. первый вопрос: смогу ли я используя ospf сделать связность n маршрутизаторов с двумя бордерами которые держат фул вью? второй вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2. я конечно попробую сделать скриптовое отключение\включение порта, что бы этот вариант вообще убрать из раздумий. ну и на последок, как лучше организовать такую связность? оставлять один бордер уже не хочется совсем, поэтому и начал думать варианты из железок микротики и pc роутеры с bsd. ядро стэк длинк 3420, доступ на SNR 2985G. про яндекс читал =) поэтому сначала продумываю все варианты. были варианты с ibgp, eigrp в микротиках пока не реализован, да и ospf для нашей сети в 500 адресов справится на ура. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 31, 2016 (edited) · Report post 1) Вы ведь не планируете fv залить в OSPF? вам по идее BGP должен отпускать вниз дефолт в OSPF, вот и все, а OSPF поднимать вверх публичную адресацию... 2) Почему у вас на двух линках в сторону сервера одинаковая подсеть? Edited August 31, 2016 by VolanD666 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nik0n Posted August 31, 2016 · Report post я конечно рад бы купить коммутатор с ospf и не парить мозг, но мне столько денег не дадут =( ядро стэк длинк 3420, доступ на SNR 2985G. D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF ! Так что закрывай кошелек ;-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
micho Posted August 31, 2016 · Report post торой вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2. ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 31, 2016 · Report post торой вопрос (из области как не нужно делать, но приходится): сервер2 использует шлюзом роутер2 при этом в этой же подсети есть интрефейс роутера 1, что будет если пакет адресованый для сервер2 прилетит не из роутер2, а из интерфейса роутер1? ведь в роутер1 тоже опубликует маршрут до сервер2. ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко. А сервер даст прописать ему одну подсеть на два интерфейса? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
micho Posted August 31, 2016 · Report post А сервер даст прописать ему одну подсеть на два интерфейса? думаю нет, но может он нашел способ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted August 31, 2016 · Report post А сервер даст прописать ему одну подсеть на два интерфейса? думаю нет, но может он нашел способ? Можно мост соорудить или повесить эту сеть на локалхост. Я в похожей схеме нацепил CARP IP на router1 и router2. Если надо два активных мастера, то два CARP'a и чуть усложнить схему с OSPF. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 31, 2016 · Report post Да дотянуть ospf до сервера и все. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted August 31, 2016 · Report post 1) Вы ведь не планируете fv залить в OSPF? вам по идее BGP должен отпускать вниз дефолт в OSPF, вот и все, а OSPF поднимать вверх публичную адресацию... 2) Почему у вас на двух линках в сторону сервера одинаковая подсеть? всё правильно, я не враг себе, что бы в ospf FW заливать. тут только вопрос с тем, как ospf проглотит два маршрута вверх через два сервера. а вот из-за одинаковой подсети весь сырбор. я хочу поставить скрипт, что бы в случае неответа маршрутизотора 2, на маршрутизаторе 1 прописывался адрес 2го, есть такая функция. вот и возник вопрос. а если пакет приедет по другому пути, как это воспримет сервер? я уже конечно подумываю о том, что бы переключать интерфейсы скриптом и не мучаться Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted August 31, 2016 · Report post D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF ! Так что закрывай кошелек ;-) неее, L3 на длинках не буду мучить, опасно. ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко. я сейчас полигон соберу и протестирую этот момент =) А сервер даст прописать ему одну подсеть на два интерфейса? а почему на два? один коммутатор один интерфейс, одна подсеть. даже шлюз один. маршрутизаторов два =) тут всё банальней, там будет много серваков и часть не наши, делать ospf на их интерфейсах не вариант. может я сильно заморачиваюсь, но хотелось бы автоматизировать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 31, 2016 · Report post D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF ! Так что закрывай кошелек ;-) неее, L3 на длинках не буду мучить, опасно. ничего не будет. сервер примет и обработает пакет как обычно. ответит конечно через роутер2. несимметричная маршрутизация иногда мешает, но очень редко. я сейчас полигон соберу и протестирую этот момент =) А сервер даст прописать ему одну подсеть на два интерфейса? а почему на два? один коммутатор один интерфейс, одна подсеть. даже шлюз один. маршрутизаторов два =) тут всё банальней, там будет много серваков и часть не наши, делать ospf на их интерфейсах не вариант. может я сильно заморачиваюсь, но хотелось бы автоматизировать. Если сервера втыкаются в свич- делайте vrrp и все. Сервер даже не узнает, что шлюз сменился Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted August 31, 2016 · Report post Если сервера втыкаются в свич- делайте vrrp и все. Сервер даже не узнает, что шлюз сменился именно это я ихочу сделать. двухпутевой доступ протестировал, работает. когда уходит в один роутер. а приходит с другого в этой же подсети. сейчас остался вопрос, как сделать приоритет дефолта в ospf, когда его раздают два сервера. после разрыва и восстановления, трафик ходит, через резерв. и очень не желает переходить обратно. куда посмотреть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
micho Posted August 31, 2016 · Report post после разрыва и восстановления, трафик ходит, через резерв. и очень не желает переходить обратно. побаловаться с метриками оспф, ну или просто разорвать резерв Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted August 31, 2016 · Report post побаловаться с метриками оспф, ну или просто разорвать резерв ну вот сейчас с метриками и пытаюсь играться =) возникла интересная ситуация связанная с толи с состоянием established то ли есчё с неизвестным мне организмом внутри роутера. происходит всё так. router 1 и 2 натят траффик во внешний мир (пробовал с натом через одно крыло, та же ботва) router 1 и 2 редистрибьютят дефолт в в ospf с условием если маршрут есть локально, то как тип1 (позволяет в случае падения уйти на резерв) итак тест с server1 пингуем server2 пинги идут всё ок, трассировка говорит, что мы идём через router 2. рубим внешний линк router 2 задержка на dead interval и всё продолжает идти. повторяем то же с router 1 и тоже всё замечательно. окей ситуация c сервера 3 пингуем сервер 2, обрываем дефолт router 2 ииии ... пинги валятся по таймауту. в соседнем окне запускаем пинг сервера 4.. а он идёт как ни в чём не бывало. окей, отменяем пинг к серверу 2, ждём 10 секунд и пинг начинает ходить, при переходе обратно, та же фигня. вопрос, где происходит затык с запоминанием состояния куда идти для конкретного адреса? т.к. я не смог прописать маршрут через два шлюза (ну не шмогла) сначала были тесты с routing router1 и nat router2, ситуация была идентична полному nat да, кстати железо микротик Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted September 1, 2016 · Report post Коннтрак поди какой-нибудь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted September 1, 2016 · Report post Коннтрак поди какой-нибудь что это за зверь? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 1, 2016 · Report post WY6EPT conntrack - это то, что следит за flow, на базе него работает iptables stateful firewall и nat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted September 1, 2016 · Report post conntrack - это то, что следит за flow, на базе него работает iptables stateful firewall и nat понял, буду копать. спасибо за инфу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted October 4, 2016 (edited) · Report post Подниму тему из забвенья. начальный вопрос решился тестами. зато пришел вопрос с VRRP откуда не ждали. и так. есть два роутера ( микротик, но не суть) поднят vrrp на подсеть 2.2.2.0/24 всё работает, всё хорошо.. но - на роутере GWP1 что то случилось с провайдером, но линк есть. - роутер GWP2 понимает, что его сосед упал и поднимает интерфейс в ospf публикуется сеть 2.2.2.0/24 - GWP1 считает, что ему норм и подсеть 2.2.2.0/24 из ospf убирать не собирается так, как маршрутизаторам GW1 и GW2 до маршрутизатора GWP2 далеко ( лишний hope) они шлют пакеты в GWP1... а там пусто. вопрос, есть ли какие то встроенные методы проверки доступности канала и отключение VRRP в такой ситуации? upd может кто прикручивал BFD к VRRP с целью потушить последнего? Edited October 4, 2016 by WY6EPT Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 4, 2016 · Report post дичь какая-то я бы выкинул вррп Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 4, 2016 · Report post Почему раздел "Ужастики" это только физический монтаж? Такую жесть как на картинке нужно помещать в "Ужастики сетевого дизайна" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted October 5, 2016 · Report post вопрос, есть ли какие то встроенные методы проверки доступности канала и отключение VRRP в такой ситуации? Ответ: sla Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted October 5, 2016 (edited) · Report post WY6EPT, тут VRRP не поможет. При VRRP маршрутизаторы мониторят состояние друг-друга, а не аплинка. Ощушаете разницу? При опосредованном (через цепочку оборудования >1) соединении оно неприменимо. GWP1 у вас master, и он не видя slave справедливо полагает, что адрес его и всё ок. Вам нужно использовать либо netwatch, либо скрипт в sheduler, периодически проверяя состояние аплинка и предпринимая действия в зависимости от изменения этого состояния. Со скриптом могу помочь если есть затруднения, но нужны подробности. Если что - в личку. Edited October 5, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...