Перейти к содержимому
Калькуляторы

Одна автономная система /24 на два филиала. Как настроить?

Добрый день, эксперты.

 

Столкнулся с необходимостью использовать AS/24 в двух филиалах.

Подскажите как можно организовать следующую схему:

 

Дано:

1) Два разных города (близко), в каждом есть филиал (пусть F1 и F2). В каждом филиале своя небольшая сеть и граничный маршрутизатор с одним провайдером (ISP1 и ISP2 соответственно)

2) У меня есть 24 AS.

3) Между граничными маршрутизаторами организована L2VPN от провайдера ISP3

 

Планируется:

1) в каждом из филиалов есть сервисы которые надо высунуть наружу: service1 и service2

 

Надо:

1) Пока ISP1 и ISP2 работают - филиалы и их сервисы ходят в инет через них (F1->AS->ISP1 и F2->AS->ISP2). НО с использованием пула адресов моей AS

(разбить AS на 2 например? это можно? как? просто бить на 2 подсети и настраивать соседство с ISP1 и ISP2, а так можно разве? Ведь AS то одна, у неё один номер. Инет сервисы поймут на какой роутер в конечном итоге идти?).

2) Всегда внутренний трафик между филиалами ходит через L2VPN ISP3 (тут всё просто, вопросов нет)

3) Как только падает ISP1 (например), то сервисы начинают ходить в инет вот так:  Service1 -> L2VPN -> ISP2.

Однако при этом нужно, чтобы снаружи сервисы остались доступны по адресам AS, которые были им даны изначально. Т.е. как бы ни сервис, ни его пользователь из интернета не должен заметить, что трафик пошел через другой филиал.

 

Как такое организовать-настроить?

Когда 1 роутер и 2 ISP, то использование AS элементарно, а тут что то заблудился..

Изменено пользователем SIBAR1T

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Порежьте сеть пополам, пропишите в райпе все, анонсируйте аплинкам из своих филиалов свои фрагменты подсети. Либо по туннелю через ospf или ibgp соедините 2 маршрутизатора из филиалов и анонсируйте с удаленного роутера основному connected-маршруты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно сделать две /25 внутри этой /24, для этого в RIPE DB надо добавить два соответствующих route object.

Но есть нюанс - не все в интернете пропускают /25.

Поэтому есть такой вариант:

- первый филиал анонсирует /24 и первую /25, сервисы размещаются в первой /25

- второй филиал анонсирует /24 и вторую /25, сервисы размещаются во второй /25

- между филиалами подымается туннель на ипах провайдера.

В итоге, даже если кто-то не видит /25 и его трафик попадёт не в тот филиал, через туннель он будет доставлен куда надо.

А в случае аварии в любом из филиалов, оставшийся получит весь трафик и будет работать полноценно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, murano сказал:

Порежьте сеть пополам, пропишите в райпе все, анонсируйте аплинкам из своих филиалов свои фрагменты подсети

во первых анонсы сетей /25 скорее всего зарежутся везде где только можно

во вторых, если вдруг не зарежутся, сервисы отвалившегося филиала работать через второй не будут

 

но в целом где тут проблема у автора вопроса - не ясно. анонсируй /24 на оба ИПС и все будет хорошо. на случай поломки у ИСП3 можно самому ВПН между роутерами сделать

Изменено пользователем anatoly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, anatoly сказал:

во первых анонсы сетей /25 скорее всего зарежутся везде где только можно

во вторых, если вдруг не зарежутся, сервисы отвалившегося филиала работать через второй не будут

 

но в целом где тут проблема у автора вопроса - не ясно. бгп между граничными роутерами через исп3 и анонсируй /24 в обоих ИСП

ну я потому и написал - внутреннюю динамическую маршрутизацию сделать, чтобы руками статику не писать каждый раз топикстартеру. Анонсить все через один.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, murano сказал:

Анонсить все через один

почему бы не анонсить все через оба?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, anatoly сказал:

почему бы не анонсить все через оба?

потому что можно на выходе получить затуп роутинга, если автор решит не связывать между собой 2 роутера с одинаковой адресацией и анонсом разным аплинкам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, anatoly сказал:

во первых анонсы сетей /25 скорее всего зарежутся везде где только можно

Мои наблюдения показывают,  что более-менее нормально работает даже /28

Правда не всегда трафик побежит оптимальным путем, но побежит.

Зависит от того сумеет ли ваш анонс пробиться до какого-то крупного магистрала/агрегатора который его не зарежет или не сумеет.

Дело ведь в чем - совсем не обязательно чтоб все маршрутизаторы на пути ( по всему миру ) видели ваши анонсы /25 , главное чтоб пакеты бежали приблизительно в правильном направлении.

А уже тут на просторах родины они наткнутся на маршрутизатор , который завернет их по /25 пути в нужную сторону.... а там даже если на следующем хопе /25 уже опять порезано,  то /24 окажется ближе уже именно к тому филиалу куда его на прошлом шаге /25 завернуло.

И в целом все само собой может более-менее сносно оптимизироваться

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, LostSoul сказал:

оптимизироваться

Какое ужасное слово для дистанционно-векторного протокола :))))

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем если есть деньги и возможность - приобрести себе вторую /24 и жить спокойно.

Если по экономическим причинам невозможно - сделать по /25 и слезно умолять всех апстримов прописать ваши /25 в исключения ( последовательно  снизу вверх )  до достижения нужного результата.

Типа "дорогой аплинк, пропиши мои /25 пожалуйста".

Затем "дорогой аплинк моего аплинка, нижайше прошу, пропиши мои /25  которые мы анонсим через...." и так далее

 

 

1 минуту назад, murano сказал:

Какое ужасное слово для дистанционно-векторного протокола :))))

Голь на выдумки хитра.

Первый год нищиты тоже так страдал.

Потом изыскал возможности по /24 на сегмент.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, LostSoul сказал:

Затем "дорогой аплинк моего аплинка, нижайше прошу, пропиши мои /25  которые мы анонсим через...." и так далее

даешь времена статики:))))))))))))))))))))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, LostSoul сказал:

В общем если есть деньги и возможность - приобрести себе вторую /24 и жить спокойно.

Если по экономическим причинам невозможно - сделать по /25 и слезно умолять всех апстримов прописать ваши /25 в исключения ( последовательно  снизу вверх )  до достижения нужного результата.

но зачем, Холмс? зачем это делать если у человека есть линк между офисами не зависимый от его AS и БГП? по сути у него на руках схема с двумя роутерами и двумя аплинками и одной АС /24. и это более чем достаточно для того чтобы анонсировать в мир свою /24 в два ИСП и не париться ни с какими уговорами

а на случай проблем у ИСП3 можно организовать ВПН между его роутерами. то есть в схеме я проблем не вижу вообще. только в квалификации ТС

Изменено пользователем anatoly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было.

 

2 минуты назад, anatoly сказал:

но зачем, Холмс? зачем это делать если у человека есть линк между офисами не зависимый от его AS и БГП? по сути у него на руках схема с двумя роутерами и двумя аплинками и одной АС /24. и это более чем достаточно для того чтобы анонсировать в мир свою /24 в два ИСП и не париться ни с какими уговорами

а теперь представьте чудное совпадение, когда случайно анонсируются 2 одинаковых айпи двум разным аплинком. В тоге leak?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, murano сказал:

Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было.

но ведь по сути у него так и есть. на первый роутер - исп1 + исп3. на второй - исп2 + исп3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
29 минут назад, SIBAR1T сказал:

Два разных города (близко),

не прочитал что "два города близко".

хотя в условиях РФ "два города близко" совсем не означают что между isp1 и isp2 пинг хороший :-)

 

но скорее всего , может оказаться что isp1 + isp3  или isp2 + isp3  могут уметь значительно количество взаимно уязвимых ресурсов.

У автора темы есть надежная информация что isp3 никакой общей инфрастуктуры с isp1 и isp2 не имеет?

( площадки , питание, колодцы , кабели , и.т.п. )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, murano сказал:

Стоило бы только реализовать по 2 аплинка на каждый роутер, чтобы сюрпризов потом не было.

 

а теперь представьте чудное совпадение, когда случайно анонсируются 2 одинаковых айпи двум разным аплинком. В тоге leak?:)

я в замешательстве. конечно у меня сейчас глубокая ночь и я неплохо выпил, но мне кажется ерунду сейчас говорите именно вы. 

Изменено пользователем anatoly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самая оптимальная схема: роутер R1 - 2 аплинка + bgp. Роутер R2 - 2 аплинка и туннель к R1. Между R1 и R2 поднимается тот же OSPF и анонсирует только redistribute-connected.

 

1 минуту назад, anatoly сказал:

я в замешательстве. конечно у меня сейчас глубокая ночь и я неплохо выпил, но мне кажется ерунду сейчас говорите именно вы. 

 

Пусть будет так. Вам видней:)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, LostSoul сказал:

но скорее всего , может оказаться что isp1 + isp3  или isp2 + isp3  могут уметь значительно количество взаимно уязвимых ресурсов.

У автора темы есть надежная информация что isp3 никакой общей инфрастуктуры с isp1 и isp2 не имеет?

 

это немного за рамками задачи. вопрос ведь в том как организовать. а надежность - тут зависит от того сколько автор теряет при простое. если много - он найдет три не связанных исп

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, zhenya` сказал:

Вторую /24 возьмите. 

зачем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, anatoly сказал:

это немного за рамками задачи. вопрос ведь в том как организовать. а надежность - тут зависит от того сколько автор теряет при простое. если много - он найдет три не связанных исп

Я настаиваю, что всё таки наиболее оптимальная схема это порубить двумя блоками по /25

 

 

Только что, anatoly сказал:

зачем?

чтоб не гадать пролезет или нет ваш анонс, а оно "просто работало".

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чтобы оптимально работало. И было меньше головной боли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, LostSoul сказал:

Я настаиваю, что всё таки наиболее оптимальная схема это порубить двумя блоками по /25

 

то что можно будет анонсировать наудачу еще и по одной /25 в разных провайдеров - почему бы и нет. пройдет - хорошо, нет - ну и ладно. я говорю, может не совсем понятно, о том что вторая АС не нужна, договариваться с аплинками тоже не обязательно. все в общем то легко и даже с каким-то резервированием делается на текущей схеме без привлечения постороннх, силами одного админа

 

Только что, zhenya` сказал:

Чтобы оптимально работало. И было меньше головной боли.

а. ну понятно. вот только все равно обе /24 ж надо будет анонсировать с обоих роутеров и одной и той же АС. и где тут выигрыш?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно взять микротик и поставить его где-то в надежном дата центре, где интернет не пропадает. Он будет анонсить сеть /24. Оба офиса подключатся через L2TP к нему и через OSPF будут анонсировать маршруты. Только и всего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднять через паблик еще один туннель l2, поднять между рутерами ibgp, ospf, что нравится, анонсировать просто /24 с двух точек.

 

Если порвется l2 vlan, через туннель связность пойдет с деградацией, возможно. Если упадет аплинк, через l2 vlan. Profit.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас