SIBAR1T Posted June 22, 2018 (edited) · Report post Добрый день, эксперты. Столкнулся с необходимостью использовать AS/24 в двух филиалах. Подскажите как можно организовать следующую схему: Дано: 1) Два разных города (близко), в каждом есть филиал (пусть F1 и F2). В каждом филиале своя небольшая сеть и граничный маршрутизатор с одним провайдером (ISP1 и ISP2 соответственно) 2) У меня есть 24 AS. 3) Между граничными маршрутизаторами организована L2VPN от провайдера ISP3 Планируется: 1) в каждом из филиалов есть сервисы которые надо высунуть наружу: service1 и service2 Надо: 1) Пока ISP1 и ISP2 работают - филиалы и их сервисы ходят в инет через них (F1->AS->ISP1 и F2->AS->ISP2). НО с использованием пула адресов моей AS (разбить AS на 2 например? это можно? как? просто бить на 2 подсети и настраивать соседство с ISP1 и ISP2, а так можно разве? Ведь AS то одна, у неё один номер. Инет сервисы поймут на какой роутер в конечном итоге идти?). 2) Всегда внутренний трафик между филиалами ходит через L2VPN ISP3 (тут всё просто, вопросов нет) 3) Как только падает ISP1 (например), то сервисы начинают ходить в инет вот так: Service1 -> L2VPN -> ISP2. Однако при этом нужно, чтобы снаружи сервисы остались доступны по адресам AS, которые были им даны изначально. Т.е. как бы ни сервис, ни его пользователь из интернета не должен заметить, что трафик пошел через другой филиал. Как такое организовать-настроить? Когда 1 роутер и 2 ISP, то использование AS элементарно, а тут что то заблудился.. Edited June 22, 2018 by SIBAR1T Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 22, 2018 · Report post Порежьте сеть пополам, пропишите в райпе все, анонсируйте аплинкам из своих филиалов свои фрагменты подсети. Либо по туннелю через ospf или ibgp соедините 2 маршрутизатора из филиалов и анонсируйте с удаленного роутера основному connected-маршруты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 22, 2018 · Report post Можно сделать две /25 внутри этой /24, для этого в RIPE DB надо добавить два соответствующих route object. Но есть нюанс - не все в интернете пропускают /25. Поэтому есть такой вариант: - первый филиал анонсирует /24 и первую /25, сервисы размещаются в первой /25 - второй филиал анонсирует /24 и вторую /25, сервисы размещаются во второй /25 - между филиалами подымается туннель на ипах провайдера. В итоге, даже если кто-то не видит /25 и его трафик попадёт не в тот филиал, через туннель он будет доставлен куда надо. А в случае аварии в любом из филиалов, оставшийся получит весь трафик и будет работать полноценно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 (edited) · Report post 8 минут назад, murano сказал: Порежьте сеть пополам, пропишите в райпе все, анонсируйте аплинкам из своих филиалов свои фрагменты подсети во первых анонсы сетей /25 скорее всего зарежутся везде где только можно во вторых, если вдруг не зарежутся, сервисы отвалившегося филиала работать через второй не будут но в целом где тут проблема у автора вопроса - не ясно. анонсируй /24 на оба ИПС и все будет хорошо. на случай поломки у ИСП3 можно самому ВПН между роутерами сделать Edited June 22, 2018 by anatoly Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 22, 2018 · Report post 1 минуту назад, anatoly сказал: во первых анонсы сетей /25 скорее всего зарежутся везде где только можно во вторых, если вдруг не зарежутся, сервисы отвалившегося филиала работать через второй не будут но в целом где тут проблема у автора вопроса - не ясно. бгп между граничными роутерами через исп3 и анонсируй /24 в обоих ИСП ну я потому и написал - внутреннюю динамическую маршрутизацию сделать, чтобы руками статику не писать каждый раз топикстартеру. Анонсить все через один. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 · Report post Только что, murano сказал: Анонсить все через один почему бы не анонсить все через оба? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 22, 2018 · Report post 1 минуту назад, anatoly сказал: почему бы не анонсить все через оба? потому что можно на выходе получить затуп роутинга, если автор решит не связывать между собой 2 роутера с одинаковой адресацией и анонсом разным аплинкам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted June 22, 2018 · Report post 2 минуты назад, anatoly сказал: во первых анонсы сетей /25 скорее всего зарежутся везде где только можно Мои наблюдения показывают, что более-менее нормально работает даже /28 Правда не всегда трафик побежит оптимальным путем, но побежит. Зависит от того сумеет ли ваш анонс пробиться до какого-то крупного магистрала/агрегатора который его не зарежет или не сумеет. Дело ведь в чем - совсем не обязательно чтоб все маршрутизаторы на пути ( по всему миру ) видели ваши анонсы /25 , главное чтоб пакеты бежали приблизительно в правильном направлении. А уже тут на просторах родины они наткнутся на маршрутизатор , который завернет их по /25 пути в нужную сторону.... а там даже если на следующем хопе /25 уже опять порезано, то /24 окажется ближе уже именно к тому филиалу куда его на прошлом шаге /25 завернуло. И в целом все само собой может более-менее сносно оптимизироваться Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 22, 2018 · Report post 1 минуту назад, LostSoul сказал: оптимизироваться Какое ужасное слово для дистанционно-векторного протокола :)))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted June 22, 2018 · Report post В общем если есть деньги и возможность - приобрести себе вторую /24 и жить спокойно. Если по экономическим причинам невозможно - сделать по /25 и слезно умолять всех апстримов прописать ваши /25 в исключения ( последовательно снизу вверх ) до достижения нужного результата. Типа "дорогой аплинк, пропиши мои /25 пожалуйста". Затем "дорогой аплинк моего аплинка, нижайше прошу, пропиши мои /25 которые мы анонсим через...." и так далее 1 минуту назад, murano сказал: Какое ужасное слово для дистанционно-векторного протокола :)))) Голь на выдумки хитра. Первый год нищиты тоже так страдал. Потом изыскал возможности по /24 на сегмент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 22, 2018 · Report post 3 минуты назад, LostSoul сказал: Затем "дорогой аплинк моего аплинка, нижайше прошу, пропиши мои /25 которые мы анонсим через...." и так далее даешь времена статики:)))))))))))))))))))))))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 (edited) · Report post 4 минуты назад, LostSoul сказал: В общем если есть деньги и возможность - приобрести себе вторую /24 и жить спокойно. Если по экономическим причинам невозможно - сделать по /25 и слезно умолять всех апстримов прописать ваши /25 в исключения ( последовательно снизу вверх ) до достижения нужного результата. но зачем, Холмс? зачем это делать если у человека есть линк между офисами не зависимый от его AS и БГП? по сути у него на руках схема с двумя роутерами и двумя аплинками и одной АС /24. и это более чем достаточно для того чтобы анонсировать в мир свою /24 в два ИСП и не париться ни с какими уговорами а на случай проблем у ИСП3 можно организовать ВПН между его роутерами. то есть в схеме я проблем не вижу вообще. только в квалификации ТС Edited June 22, 2018 by anatoly Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 22, 2018 · Report post Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было. 2 минуты назад, anatoly сказал: но зачем, Холмс? зачем это делать если у человека есть линк между офисами не зависимый от его AS и БГП? по сути у него на руках схема с двумя роутерами и двумя аплинками и одной АС /24. и это более чем достаточно для того чтобы анонсировать в мир свою /24 в два ИСП и не париться ни с какими уговорами а теперь представьте чудное совпадение, когда случайно анонсируются 2 одинаковых айпи двум разным аплинком. В тоге leak?:) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 · Report post Только что, murano сказал: Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было. но ведь по сути у него так и есть. на первый роутер - исп1 + исп3. на второй - исп2 + исп3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted June 22, 2018 · Report post 29 минут назад, SIBAR1T сказал: Два разных города (близко), не прочитал что "два города близко". хотя в условиях РФ "два города близко" совсем не означают что между isp1 и isp2 пинг хороший :-) но скорее всего , может оказаться что isp1 + isp3 или isp2 + isp3 могут уметь значительно количество взаимно уязвимых ресурсов. У автора темы есть надежная информация что isp3 никакой общей инфрастуктуры с isp1 и isp2 не имеет? ( площадки , питание, колодцы , кабели , и.т.п. ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 (edited) · Report post 3 минуты назад, murano сказал: Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было. а теперь представьте чудное совпадение, когда случайно анонсируются 2 одинаковых айпи двум разным аплинком. В тоге leak?:) я в замешательстве. конечно у меня сейчас глубокая ночь и я неплохо выпил, но мне кажется ерунду сейчас говорите именно вы. Edited June 22, 2018 by anatoly Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 22, 2018 · Report post Самая оптимальная схема: роутер R1 - 2 аплинка + bgp. Роутер R2 - 2 аплинка и туннель к R1. Между R1 и R2 поднимается тот же OSPF и анонсирует только redistribute-connected. 1 минуту назад, anatoly сказал: я в замешательстве. конечно у меня сейчас глубокая ночь и я неплохо выпил, но мне кажется ерунду сейчас говорите именно вы. Пусть будет так. Вам видней:) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 · Report post 2 минуты назад, LostSoul сказал: но скорее всего , может оказаться что isp1 + isp3 или isp2 + isp3 могут уметь значительно количество взаимно уязвимых ресурсов. У автора темы есть надежная информация что isp3 никакой общей инфрастуктуры с isp1 и isp2 не имеет? это немного за рамками задачи. вопрос ведь в том как организовать. а надежность - тут зависит от того сколько автор теряет при простое. если много - он найдет три не связанных исп Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted June 22, 2018 · Report post Вторую /24 возьмите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 · Report post Только что, zhenya` сказал: Вторую /24 возьмите. зачем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted June 22, 2018 · Report post 1 минуту назад, anatoly сказал: это немного за рамками задачи. вопрос ведь в том как организовать. а надежность - тут зависит от того сколько автор теряет при простое. если много - он найдет три не связанных исп Я настаиваю, что всё таки наиболее оптимальная схема это порубить двумя блоками по /25 Только что, anatoly сказал: зачем? чтоб не гадать пролезет или нет ваш анонс, а оно "просто работало". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted June 22, 2018 · Report post Чтобы оптимально работало. И было меньше головной боли. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted June 22, 2018 · Report post Только что, LostSoul сказал: Я настаиваю, что всё таки наиболее оптимальная схема это порубить двумя блоками по /25 то что можно будет анонсировать наудачу еще и по одной /25 в разных провайдеров - почему бы и нет. пройдет - хорошо, нет - ну и ладно. я говорю, может не совсем понятно, о том что вторая АС не нужна, договариваться с аплинками тоже не обязательно. все в общем то легко и даже с каким-то резервированием делается на текущей схеме без привлечения постороннх, силами одного админа Только что, zhenya` сказал: Чтобы оптимально работало. И было меньше головной боли. а. ну понятно. вот только все равно обе /24 ж надо будет анонсировать с обоих роутеров и одной и той же АС. и где тут выигрыш? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted June 22, 2018 · Report post Можно взять микротик и поставить его где-то в надежном дата центре, где интернет не пропадает. Он будет анонсить сеть /24. Оба офиса подключатся через L2TP к нему и через OSPF будут анонсировать маршруты. Только и всего. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted June 23, 2018 · Report post Поднять через паблик еще один туннель l2, поднять между рутерами ibgp, ospf, что нравится, анонсировать просто /24 с двух точек. Если порвется l2 vlan, через туннель связность пойдет с деградацией, возможно. Если упадет аплинк, через l2 vlan. Profit. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...