Jump to content
Калькуляторы

Одна автономная система /24 на два филиала. Как настроить?

Добрый день, эксперты.

 

Столкнулся с необходимостью использовать AS/24 в двух филиалах.

Подскажите как можно организовать следующую схему:

 

Дано:

1) Два разных города (близко), в каждом есть филиал (пусть F1 и F2). В каждом филиале своя небольшая сеть и граничный маршрутизатор с одним провайдером (ISP1 и ISP2 соответственно)

2) У меня есть 24 AS.

3) Между граничными маршрутизаторами организована L2VPN от провайдера ISP3

 

Планируется:

1) в каждом из филиалов есть сервисы которые надо высунуть наружу: service1 и service2

 

Надо:

1) Пока ISP1 и ISP2 работают - филиалы и их сервисы ходят в инет через них (F1->AS->ISP1 и F2->AS->ISP2). НО с использованием пула адресов моей AS

(разбить AS на 2 например? это можно? как? просто бить на 2 подсети и настраивать соседство с ISP1 и ISP2, а так можно разве? Ведь AS то одна, у неё один номер. Инет сервисы поймут на какой роутер в конечном итоге идти?).

2) Всегда внутренний трафик между филиалами ходит через L2VPN ISP3 (тут всё просто, вопросов нет)

3) Как только падает ISP1 (например), то сервисы начинают ходить в инет вот так:  Service1 -> L2VPN -> ISP2.

Однако при этом нужно, чтобы снаружи сервисы остались доступны по адресам AS, которые были им даны изначально. Т.е. как бы ни сервис, ни его пользователь из интернета не должен заметить, что трафик пошел через другой филиал.

 

Как такое организовать-настроить?

Когда 1 роутер и 2 ISP, то использование AS элементарно, а тут что то заблудился..

Edited by SIBAR1T

Share this post


Link to post
Share on other sites

Порежьте сеть пополам, пропишите в райпе все, анонсируйте аплинкам из своих филиалов свои фрагменты подсети. Либо по туннелю через ospf или ibgp соедините 2 маршрутизатора из филиалов и анонсируйте с удаленного роутера основному connected-маршруты.

Share this post


Link to post
Share on other sites

Можно сделать две /25 внутри этой /24, для этого в RIPE DB надо добавить два соответствующих route object.

Но есть нюанс - не все в интернете пропускают /25.

Поэтому есть такой вариант:

- первый филиал анонсирует /24 и первую /25, сервисы размещаются в первой /25

- второй филиал анонсирует /24 и вторую /25, сервисы размещаются во второй /25

- между филиалами подымается туннель на ипах провайдера.

В итоге, даже если кто-то не видит /25 и его трафик попадёт не в тот филиал, через туннель он будет доставлен куда надо.

А в случае аварии в любом из филиалов, оставшийся получит весь трафик и будет работать полноценно.

Share this post


Link to post
Share on other sites
8 минут назад, murano сказал:

Порежьте сеть пополам, пропишите в райпе все, анонсируйте аплинкам из своих филиалов свои фрагменты подсети

во первых анонсы сетей /25 скорее всего зарежутся везде где только можно

во вторых, если вдруг не зарежутся, сервисы отвалившегося филиала работать через второй не будут

 

но в целом где тут проблема у автора вопроса - не ясно. анонсируй /24 на оба ИПС и все будет хорошо. на случай поломки у ИСП3 можно самому ВПН между роутерами сделать

Edited by anatoly

Share this post


Link to post
Share on other sites
1 минуту назад, anatoly сказал:

во первых анонсы сетей /25 скорее всего зарежутся везде где только можно

во вторых, если вдруг не зарежутся, сервисы отвалившегося филиала работать через второй не будут

 

но в целом где тут проблема у автора вопроса - не ясно. бгп между граничными роутерами через исп3 и анонсируй /24 в обоих ИСП

ну я потому и написал - внутреннюю динамическую маршрутизацию сделать, чтобы руками статику не писать каждый раз топикстартеру. Анонсить все через один.

Share this post


Link to post
Share on other sites
Только что, murano сказал:

Анонсить все через один

почему бы не анонсить все через оба?

Share this post


Link to post
Share on other sites
1 минуту назад, anatoly сказал:

почему бы не анонсить все через оба?

потому что можно на выходе получить затуп роутинга, если автор решит не связывать между собой 2 роутера с одинаковой адресацией и анонсом разным аплинкам.

Share this post


Link to post
Share on other sites
2 минуты назад, anatoly сказал:

во первых анонсы сетей /25 скорее всего зарежутся везде где только можно

Мои наблюдения показывают,  что более-менее нормально работает даже /28

Правда не всегда трафик побежит оптимальным путем, но побежит.

Зависит от того сумеет ли ваш анонс пробиться до какого-то крупного магистрала/агрегатора который его не зарежет или не сумеет.

Дело ведь в чем - совсем не обязательно чтоб все маршрутизаторы на пути ( по всему миру ) видели ваши анонсы /25 , главное чтоб пакеты бежали приблизительно в правильном направлении.

А уже тут на просторах родины они наткнутся на маршрутизатор , который завернет их по /25 пути в нужную сторону.... а там даже если на следующем хопе /25 уже опять порезано,  то /24 окажется ближе уже именно к тому филиалу куда его на прошлом шаге /25 завернуло.

И в целом все само собой может более-менее сносно оптимизироваться

 

Share this post


Link to post
Share on other sites
1 минуту назад, LostSoul сказал:

оптимизироваться

Какое ужасное слово для дистанционно-векторного протокола :))))

 

Share this post


Link to post
Share on other sites

В общем если есть деньги и возможность - приобрести себе вторую /24 и жить спокойно.

Если по экономическим причинам невозможно - сделать по /25 и слезно умолять всех апстримов прописать ваши /25 в исключения ( последовательно  снизу вверх )  до достижения нужного результата.

Типа "дорогой аплинк, пропиши мои /25 пожалуйста".

Затем "дорогой аплинк моего аплинка, нижайше прошу, пропиши мои /25  которые мы анонсим через...." и так далее

 

 

1 минуту назад, murano сказал:

Какое ужасное слово для дистанционно-векторного протокола :))))

Голь на выдумки хитра.

Первый год нищиты тоже так страдал.

Потом изыскал возможности по /24 на сегмент.

 

Share this post


Link to post
Share on other sites
3 минуты назад, LostSoul сказал:

Затем "дорогой аплинк моего аплинка, нижайше прошу, пропиши мои /25  которые мы анонсим через...." и так далее

даешь времена статики:))))))))))))))))))))))))

Share this post


Link to post
Share on other sites
4 минуты назад, LostSoul сказал:

В общем если есть деньги и возможность - приобрести себе вторую /24 и жить спокойно.

Если по экономическим причинам невозможно - сделать по /25 и слезно умолять всех апстримов прописать ваши /25 в исключения ( последовательно  снизу вверх )  до достижения нужного результата.

но зачем, Холмс? зачем это делать если у человека есть линк между офисами не зависимый от его AS и БГП? по сути у него на руках схема с двумя роутерами и двумя аплинками и одной АС /24. и это более чем достаточно для того чтобы анонсировать в мир свою /24 в два ИСП и не париться ни с какими уговорами

а на случай проблем у ИСП3 можно организовать ВПН между его роутерами. то есть в схеме я проблем не вижу вообще. только в квалификации ТС

Edited by anatoly

Share this post


Link to post
Share on other sites

Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было.

 

2 минуты назад, anatoly сказал:

но зачем, Холмс? зачем это делать если у человека есть линк между офисами не зависимый от его AS и БГП? по сути у него на руках схема с двумя роутерами и двумя аплинками и одной АС /24. и это более чем достаточно для того чтобы анонсировать в мир свою /24 в два ИСП и не париться ни с какими уговорами

а теперь представьте чудное совпадение, когда случайно анонсируются 2 одинаковых айпи двум разным аплинком. В тоге leak?:)

Share this post


Link to post
Share on other sites
Только что, murano сказал:

Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было.

но ведь по сути у него так и есть. на первый роутер - исп1 + исп3. на второй - исп2 + исп3

Share this post


Link to post
Share on other sites
29 минут назад, SIBAR1T сказал:

Два разных города (близко),

не прочитал что "два города близко".

хотя в условиях РФ "два города близко" совсем не означают что между isp1 и isp2 пинг хороший :-)

 

но скорее всего , может оказаться что isp1 + isp3  или isp2 + isp3  могут уметь значительно количество взаимно уязвимых ресурсов.

У автора темы есть надежная информация что isp3 никакой общей инфрастуктуры с isp1 и isp2 не имеет?

( площадки , питание, колодцы , кабели , и.т.п. )

 

Share this post


Link to post
Share on other sites
3 минуты назад, murano сказал:

Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было.

 

а теперь представьте чудное совпадение, когда случайно анонсируются 2 одинаковых айпи двум разным аплинком. В тоге leak?:)

я в замешательстве. конечно у меня сейчас глубокая ночь и я неплохо выпил, но мне кажется ерунду сейчас говорите именно вы. 

Edited by anatoly

Share this post


Link to post
Share on other sites

Самая оптимальная схема: роутер R1 - 2 аплинка + bgp. Роутер R2 - 2 аплинка и туннель к R1. Между R1 и R2 поднимается тот же OSPF и анонсирует только redistribute-connected.

 

1 минуту назад, anatoly сказал:

я в замешательстве. конечно у меня сейчас глубокая ночь и я неплохо выпил, но мне кажется ерунду сейчас говорите именно вы. 

 

Пусть будет так. Вам видней:)

 

Share this post


Link to post
Share on other sites
2 минуты назад, LostSoul сказал:

но скорее всего , может оказаться что isp1 + isp3  или isp2 + isp3  могут уметь значительно количество взаимно уязвимых ресурсов.

У автора темы есть надежная информация что isp3 никакой общей инфрастуктуры с isp1 и isp2 не имеет?

 

это немного за рамками задачи. вопрос ведь в том как организовать. а надежность - тут зависит от того сколько автор теряет при простое. если много - он найдет три не связанных исп

Share this post


Link to post
Share on other sites
Только что, zhenya` сказал:

Вторую /24 возьмите. 

зачем?

Share this post


Link to post
Share on other sites
1 минуту назад, anatoly сказал:

это немного за рамками задачи. вопрос ведь в том как организовать. а надежность - тут зависит от того сколько автор теряет при простое. если много - он найдет три не связанных исп

Я настаиваю, что всё таки наиболее оптимальная схема это порубить двумя блоками по /25

 

 

Только что, anatoly сказал:

зачем?

чтоб не гадать пролезет или нет ваш анонс, а оно "просто работало".

 

Share this post


Link to post
Share on other sites

Чтобы оптимально работало. И было меньше головной боли.

Share this post


Link to post
Share on other sites
Только что, LostSoul сказал:

Я настаиваю, что всё таки наиболее оптимальная схема это порубить двумя блоками по /25

 

то что можно будет анонсировать наудачу еще и по одной /25 в разных провайдеров - почему бы и нет. пройдет - хорошо, нет - ну и ладно. я говорю, может не совсем понятно, о том что вторая АС не нужна, договариваться с аплинками тоже не обязательно. все в общем то легко и даже с каким-то резервированием делается на текущей схеме без привлечения постороннх, силами одного админа

 

Только что, zhenya` сказал:

Чтобы оптимально работало. И было меньше головной боли.

а. ну понятно. вот только все равно обе /24 ж надо будет анонсировать с обоих роутеров и одной и той же АС. и где тут выигрыш?

Share this post


Link to post
Share on other sites

Можно взять микротик и поставить его где-то в надежном дата центре, где интернет не пропадает. Он будет анонсить сеть /24. Оба офиса подключатся через L2TP к нему и через OSPF будут анонсировать маршруты. Только и всего.

Share this post


Link to post
Share on other sites

Поднять через паблик еще один туннель l2, поднять между рутерами ibgp, ospf, что нравится, анонсировать просто /24 с двух точек.

 

Если порвется l2 vlan, через туннель связность пойдет с деградацией, возможно. Если упадет аплинк, через l2 vlan. Profit.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this